Estoy intentando impedir que los administradores de dominio accedan a los archivos clasificados en las PC que se unieron al dominio. Pero parecen tareas imposibles, ya que podrían pasar por alto fácilmente cualquier restricción o auditoría establecida por otros administradores.
El primer pensamiento fue otorgar solo los privilegios necesarios a todos los administradores, pero eso no fue una tarea trivial, lo tomaría como último recurso.
Entonces, ¿alguna sugerencia?
Un administrador de dominio tiene todos los derechos sobre la red. Ellos pueden cambiar cualquier cosa como mejor les parezca.
Llamo su atención sobre la siguiente law :
Ley de Seguridad Inmutable # 6: una computadora es tan segura como lo es la confianza del administrador.
Si no confías en el administrador de tu dominio, no los conviertas en administradores de dominio ni contrates a un nuevo administrador de dominio de confianza.
Si realmente necesita mantener en secreto ciertos documentos operativos del administrador del dominio, no los coloque en la red. Manténgalos en un contenedor encriptado (por ejemplo, volumen de TrueCrypt) fuera de la red.
Lea otras preguntas en las etiquetas windows