Уважаемый
VOX13, если Вас интересуют принципы построения безопасной инфраструктуры Active Directory и обзор "лучших практики", то Вам стоит почитать материалы:
Best Practice Guide for Securing Active Directory Installations
Best Practice Guide for Securing Active Directory Installations and Day-to-Day Operations: Part II
В целом можно сказать, что если владелец AD не заботится о ее безопасности, то с AD можно сделать что угодно. Если на смену старому админу пришел новый, у которого уровень знаний ниже, то высока вероятность, что старый админ может воспользоваться оставленным back-door.
Маловероятно, что существует функционал ограничения в удалении тех или иных данных в Active Directory для Ent.Admin; да, можно существенно затруднить обнаружение и сам процесс удаления данных и параметров, но полностью его заблокировать, как мне кажется - невозможно.
Даже если новый админ очень недалек в безопасности, первая попытка доступа в сеть с back-door учетной записью приведет к появлению соответствующих записей в журнале аудита... с соответствующими последствиями (уголовными) для хакера.
PS: какие именно моменты статьи Вы хотели бы уточнить?
