"Práticas recomendadas" geralmente ditam LPU (usuário menos privilegiado) ... mas você está certo (como ETL e Joe são +1) que as pessoas raramente seguem esse modelo.
A maioria das recomendações é feita como você diz ... crie duas contas e não as compartilhe com outras pessoas. Uma conta não deve ter direitos de administrador nem mesmo na estação de trabalho local que você está usando, mas novamente quem segue essa regra, especialmente com o UAC atualmente (que, em teoria, deveria estar ativado).
Existem vários fatores nos quais você deseja seguir esse caminho. Você deve levar em consideração segurança, conveniência, política corporativa, restrições regulatórias (se houver), risco, etc.
Mantendo o Domain Admins
e Administrators
nível de domínio grupos agradável e limpo com contas mínimas é sempre uma boa idéia. Mas não compartilhe simplesmente contas de administrador de domínio comuns, se puder evitá-lo. Caso contrário, há o risco de alguém fazer alguma coisa e, em seguida, apontar o dedo entre administradores de sistemas de "não fui eu quem usou essa conta". Melhor ter contas individuais ou usar algo como o CyberArk EPA para auditá-lo corretamente.
Também nessas linhas, seu Schema Admins
grupo sempre deve estar VAZIO, a menos que você esteja fazendo uma alteração no esquema e depois coloque a conta, faça a alteração e remova a conta. O mesmo poderia ser dito, Enterprise Admins
especialmente em um modelo de domínio único.
Você também NÃO deve permitir contas privilegiadas na VPN na rede. Use uma conta normal e eleve conforme necessário uma vez dentro.
Por fim, você deve usar o SCOM ou o Netwrix ou algum outro método para auditar qualquer grupo privilegiado e notificar o grupo apropriado na TI sempre que algum dos membros desse grupo for alterado. Isso permitirá que você diga "espere um minuto, por que é tão e tão repentinamente um administrador de domínio?" etc.
No final do dia, há uma razão para a chamada "Melhor prática" e não "Somente prática" ... existem escolhas aceitáveis feitas por grupos de TI com base em suas próprias necessidades e filosofias. Alguns (como Joe disse) são simplesmente preguiçosos ... enquanto outros simplesmente não se importam porque não estão interessados em tapar uma falha de segurança quando já existem centenas e incêndios diários para combater. No entanto, agora que você leu tudo isso, considere-se um dos que combaterá a boa luta e fará o possível para manter as coisas em segurança. :)
Referências:
http://www.microsoft.com/en-us/download/details.aspx?id=4868
http://technet.microsoft.com/en-us/library/cc700846.aspx
http://technet.microsoft.com/en-us/library/bb456992.aspx