Forzar contraseñas únicas tanto para el administrador del dominio como para la cuenta diaria simplemente haría que las personas las usen como "MyP @ ssw0rd1" para su Daily y "MyP @ ssw0rd2" para el administrador del dominio.
Eso haría que las contraseñas sean fáciles de adivinar de todos modos, sabiendo que la contraseña diaria haría más fácil para un atacante deducir la contraseña del dominio a partir de esto.
El riesgo contra el que desea protegerse es si un software malintencionado o un usuario malintencionado podrían acceder a la cuenta de administrador del dominio al conocer la contraseña de la cuenta diaria.
Para protegerme contra esto, sugeriría usar una solución de token 2FA con tokens OTP. Ya sea sincronizado en tiempo o evento sincronizado. O incluso un Yubikey. Lo bueno de los tokens OTP basados en código o yubikey, es que pueden usarse en sistemas de contraseña heredados simplemente reemplazando el módulo de validación de contraseña con uno que puede validar un código que consiste tanto en una contraseña estática como en una OTP. 2FA solo está habilitado para el administrador de dominio, lo que significa que el token se puede guardar de forma segura en una caja fuerte mientras no se usa.
Otra solución es hacer cumplir una regla de acceso de 2 personas. Simple, tienes 2 administradores de dominio. Un administrador de dominio tiene la mitad de la contraseña que conoce sin que el otro busque, luego el otro administrador de dominios ingresa otra mitad que él conoce, sin buscar el administrador.
Entonces, ambas personas deben venir al unísono para acceder a la cuenta del administrador del dominio, lo que aumenta la trazabilidad pero también la seguridad, ya que necesitaría conocer ambas mitades de contraseña, por lo que incluso si ambos administradores establecen sus mitades en su contraseña diaria, la seguridad no se verá comprometida.