secure domain
... более того, это должен быть не дочерний домен (у которого, кажись, автоматом доверительные отношения к прародителю). Это должен быть домен отдельного дерева (например, adm), у которого будут односторонние доверительные отношения (domain.ru доверяет adm, adm никому не доверяет).
И он должен содержать не только резервные записи администратора, но и все служебные учётные записи (бэкапилки, SQL'я, каких-то ещё сервисов).
(Я анализирую логи и вижу, что за полтора часа "трёпки" у меня не сделалось два инкрементальных бэкапа MSSQL из-за блокировки учётной записи сервиса).
И он должен содержать не только резервные записи администратора, но и все служебные учётные записи (бэкапилки, SQL'я, каких-то ещё сервисов).
(Я анализирую логи и вижу, что за полтора часа "трёпки" у меня не сделалось два инкрементальных бэкапа MSSQL из-за блокировки учётной записи сервиса).