Vždycky se snažíte eliminovat co nejvíce možných zranitelností. Pokud máte jeden jediný administrátorský účet, jste vystaveni obrovskému riziku kompromitace celé organizace při odcizení tohoto hesla. Pokud budou na síti "sedět" útočníci a například chytat hashe hesla, bude jednodušší se zaměřit na heslo jediné. Navíc, máte-li jeden administrátorský účet, počítáte s tím, že každý, kdo ho má, se bude přihlašovat z více míst, síti, apod - v takovém případě nemůžete nastavit například trusted host, abyste omezil připojení jen z konkrétních sítí. Admin se může přihlásit odkudkoliv do jakékoliv služby, nemá dvou faktor a po síti běhá jen jeho heslo, účet smí všude a umožňuje všechno - dojde-li ke zneužití účtu, čelíte skutečnosti, že mohlo dojít k odcizení komplet všeho a bude problém to dávat dohromady.Admin Pepa se ovšem může přihlásit pouze z lokálního subnetu a nemá práva například na zásahy do doménového řadiče, smí vytvářet účty a resetovat uživatelům hesla, naopak nemůže editovat GPO politiky, například.Admin Lojza se může přihlásit z lokální sítě, ale i přes VPN - dělá z domova. Na rozdíl od Pepy ale může provádět zásahy v doméně, přístup do VPN a jeho účtu je chráněn dvou faktorem.Pokud dojde ke kompromitaci jednoho z účtů, jednoduše se zablokuje a začne se to řešit. V logovacích nástrojích můžete dohledat co se stalo, zda to nebyla chyba, útok nebo jen nespokojený admin. Napříč organizací máte většinou více adminů a jednoduše to nemůžete nechat ve stavu, kdy nevíte co dělá ruka pravá a levá. Musíte mít přehled a hlavně kontrolu. Jednotný admin účet je nesmysl, opravdu, obrovský. Jako šéf IT jste za to pak zodpovědný a to vy musíte nadřízenému říct, že je komplet celá firma v ohrožení, protože jste měl jeden login, který musíte zablokovat a v tu chvíli vám začnou padat služby, apod., protože jste za tu dobu účet admin použil v tolika věcech, že už si to ani nepamatujete...Asi tak :)