[Igor533]

Теоретически, средствами только встроенными в МискроСофт, нельзя "защититься" от администратора. Так уж написана операционка, ведь он всегда может поменять пароль любому "под-админу" и под его эккаунтом зайти и дать себе допуск.
Если уж стоит вопрос о серьезном разграничении полномочий, и закрытии информации, то надо ставить дополнительные системы, но хотя бы как Cyber-Arc и другие, в которых администратор домейна не является администратором и не может взять себе права.