請問以資安角度，要禁止所有IT日常不能用系統自帶的 admin 賬號嗎?

你的日常是指日常巡檢時的登入帳號、日常作業會用的登入帳號嗎？
其實不管日不日常，Admin帳號最好的控管起來，不要太常使用。

舉個例子：
1.資訊部有ABCDE五個成員，各自擁有不同權限的帳號，帳號名稱也以ABCDE命名。
有天發現AD Server突然關機了，透過Event Log發現，是因為B帳號登入後進行了Windows Update，執行完成後沒有選擇更新並重新開機，而是直接關機。

2.資訊部有ABCDE五個成員，每個人都用Admin帳號工作。
有天發現AD Server突然關機了，透過Event Log發現，是Admin帳號登入後進行了Windows Update，執行完成後沒有選擇更新並重新開機，而是直接關機。

這樣你有理解例子1跟例子2的差別嗎？
這還是只以內部作業為前提會遇到的情況來舉例。

欸不對，你們公司，或是你們集團的IT沒有控管Admin帳號嗎？

若以GCB來看，是，而且大多數資安廠商都會打著"特權帳號回收"或"特權帳號調查"的字眼來宣揚admin或有admin權限的帳號回收的產品。
但，實際應用很難，所以建議事先盤點，確認回收前後差異及影響，確認回收範圍之後再行動，且需定期盤查。
(不過大多數公司還是有所謂"私有"或"MIS的萬能鑰匙"的特權帳號存在)

10多年前有大公司導入ISO27001被管到
本機admin被停用，只能用網域管理帳號
其實這對處理電腦端問題很麻煩，每次脫離網域後都要先破解才能使用admin權限
但是windows漏洞那麼多，也很難說停用admin就不會被駭客突破

再來說說銀行業
銀行業有聽說IT人員不持有admin權限
要作業要等到半夜時間 由另外持有權限的人協助登入
才可以進行系統維護作業

我是駭客我會先確定OS種類 然後開始踹 administrator admin root 的密碼

碰過的資安事件(被攻擊)的手法都是一樣這幾組帳號先被踹 供參考