Compagno Sadaeq,
Uno dei principi fondamentali della sicurezza è che non è possibile proteggere un sistema dall'amministratore del sistema stesso. Questo perché l'amministratore ha i mezzi per modificare / controllare il sistema, in modo che possa sempre trovare un modo per accedere a qualsiasi cosa desideri.
Il mio consiglio è di consigliare al cliente di ridurre il numero dei propri amministratori di dominio a un numero davvero esiguo di persone di cui possono fidarsi. Come suggerito dal compagno Schroeder, è sempre meglio delegare altre parti della gestione del sistema ad altri amministratori delegati sulla base di un buon modello di delega.
Una cosa da tenere a mente sulla delega in Active Directory è assicurarsi che gli account di Domain Admin non si trovino nella stessa OU di altri account, perché se è così, e hai delegato l'amministrazione di tale OU a un amministratore delegato, tale amministratore delegato potrebbe utilizzare l'ereditarietà della permissione per concedere sufficienti autorizzazioni all'account amministratore di dominio per reimpostare la password dell'amministratore di dominio e accedere come amministratore del dominio. (Questo concetto non è nuovo ed è noto come "Escalation di privilegi di Active Directory")
Quindi, compagno, il mio suggerimento è di ridurre il numero di Domain Admins delegando tutte le altre attività (ad es. creazione di account, gestione OU, gestione dell'effettivo di gruppo) ad altri amministratori delegati e solo a quelle persone di cui si può completamente fidarsi. (Come suggerito da altri compagni, né la registrazione né il controllo proteggono un sistema da un amministratore di dominio perché un amministratore di dominio può disattivarli entrambi.)
Buona fortuna a te.