Права Администратора - ВСЁ и ВСЕГДА. А надо ли это?

Сразу было сделано так что у Администратора и других пользователй, входящих в группу Администраторы есть все права и даже если эти привилегии запретить, всё равно ничего не выйдет.

Для чего это сделано - понятно: защита от дурака. Если бедовый экспериментатор напартачит в базе с привилегиями, то остаётся возможность всё исправить.

Потом добавилась ещё одна привилегия "Многократный вход в систему". Понятно что её желательно включать крайне редко и особенно важно иметь возможность выключить для Администраторов. Это было сделано.

Т.е. произошло небольшое отсупление от начального алгоритма и при этом защита от дурака не пострадала.

Моё предложение: продолжить и углубить это начинание, распространить это на все пункты, кроме "Использование проводника" и "Администрирование". Этих двух пунктов (всегда разрешённых администраторам) достаточно для защиты от дурака. Далее все остальные права они смогут сами себе делегировать (включить).

Сам собою напрашивается вопрос: - "Зачем это надо?"

Я уже сталкивался с ситуацией когда в организации несколько администраторов, при этом в их состав входят и НОМИНАЛЬНЫЕ АДМИСТРАТОРЫ, которые знать ничего не хотят, но блюдут свой статус.

Пусть, так. Я им изначально настрою безопасные привилегии: всё видеть, ничего руками не трогать, а уж если им захочется - придётся подумать, почитать литературу и предпринять действия, которые подтвердят что они всё сделали обдумано.