[xoxmodav]

Djkr1982, сложный вопрос, так как администраторы домена имеют огромное преимущество в виде неограниченных прав и групповых политик, с помощью которых можно немало вещей сделать. А так, на вскидку, можно спастись файерволом, котором заблокировать все попытки входящих подключений (что может быть весьма чревато для домена).
Как простой вариант - права на папки раздать только определённым пользователям, убрав из групп доступа к ним "администраторов", но и это, при желании, легко обходится.

P.S. Как вариант - шифрование данных, однако надо знать объёмы информации, мощность рабочих станций и реальную необходимость подобного.

А вообще странно иметь ВАЖНЫЕ рабочие станции с конфиденциальной информацией и подпускать к ним посторонних людей, к которым нет доверия или договора о неразглашении. Не проще ли их тогда вообще из домена вывести и дать доступ ограниченному кругу лиц?

[Djkr1982]

xoxmodav, на самом деле это очень важно. ибо высшее руководство и подопечные-это одно юр.лицо, администраторы - другое (аутсорсинг).
договор о неразглашении (соглашение о конфиденциальности) имеется. но как же, будь админом, не возникнет желания глянуть туда или куда ещё на машине руководителя? И речь даже не о конфиденциальной информации, а, возможно, о личной

[xoxmodav]

Личная информация "интимного" характера (подразумевается конфиденциальная, а не home-видео) на таких компьютерах, к тому же у высшего руководства, храниться вообще не должна. Также неплохо было бы обрисовать область защиты тип защищаемого контента, объёмы и т.п.

[El Scorpio]

Djkr1982, ответ прос - никак.
Админ домена всегда будет самым главным на компьютере, введёном в домен.
Можно попытаться поэкспериментировать с локальными политиками, но скорее всего возникнут проблемы со всеми службами домена.
То есть, проще будет вовсе вывести такой компьютер из домена. А при наличии Очень Конфиденциальной Информации, ещё и от сети отключить.

[xoxmodav]

El Scorpio, ну зачем так сразу. Можно попробовать внедрить шифрование EFS на компьютерах этих важных лиц, а универсальный доменный ключ восстановления перенести на внешний накопитель, после чего удалить. Тогда пользователь сможет работать с этими зашифрованными файлами, а кто-то другой - нет. Но если этот кто-то другой сбросит пароль или подберёт/перехватит его, то никто не помешает ему изучать содержимое этих зашифрованных файлов.

Можно воспользоваться и не встроенными средствами шифрования, однако, при желании, и тогда администратор сможет что-нибудь придумать и получить доступ к файлам. Более универсальный вариант - хранить данные на флешке/внешнем винте в зашифрованном виде и перед работой с ними, отключать сеть, после работы с данными - отключать носитель и обратно подключать сеть. Но нет никаких гарантий, что вам не поставят программу, которая будет в скрытом режиме копировать файлы с носителя.

P.S. А вообще странно сначала давать ключи от всех дверей, а затем думать как от ключника можно что-то защитить.

[Djkr1982]

Цитата xoxmodav:

Личная информация "интимного" характера (подразумевается конфиденциальная, а не home-видео) на таких компьютерах, к тому же у высшего руководства, храниться вообще не должна. »

это вы руководству расскажите)

но речь не о "порно-фильмах". может быть служебная переписка, фото служ.коммандировок, нежелательное для посторонних глаз и т.д.

это и может быть контентом.

Цитата El Scorpio:

А при наличии Очень Конфиденциальной Информации, ещё и от сети отключить. »

нет, такой информации там нет. просто-напросто не хотелось, чтобы админы лазали по машинам это-адекватное желание)

Цитата xoxmodav:

P.S. А вообще странно сначала давать ключи от всех дверей, а затем думать как от ключника можно что-то защитить. »

ничего странного. это политика, и Вам, возможно, этого не понять)

[Любезный]

ИМХО, единственный способ защиты личной инфы - её размещение на личном компе, вообще не имеющем доступа к корпоративной сети.

[Djkr1982]

Цитата Любезный:

ИМХО, единственный способ защиты личной инфы - её размещение на личном компе, вообще не имеющем доступа к корпоративной сети. »

это-не вариант)

[xoxmodav]

Это называется немного по другому - дурость, недальновидность, некомпетентность и т.п., но никак не политика - просто все привыкли что в политике это стало нормой и всё время с ней сравнивают. )))

Давайте ещё раз пройдёмся по предложенным Вам вариантам - хотелось бы услышать, что в каких из них Вам не понравились и чем.

P.S. Для справки: системный/сетевой администратор - это сотрудник, имеющий практически безграничную власть в своём сегменте, а также практически всемогущий и ничем особо не ограниченный. Для того, чтобы такие сотрудники не превышали свои полномочия на предприятиях обычно имеется отдел безопасности, который денно и нощно наблюдает за их действиями и своим существованием даёт им повод задуматься о выполнении правил.