Su Windows, non è davvero fattibile. È possibile su linux con controllo di accesso obbligatorio (ad esempio). Così puoi avere un filtro web in esecuzione, ma il sudoer non sarebbe in grado di interferire con esso (almeno non senza un grande sforzo, potenzialmente rendendo il sistema inutilizzabile). Allo stesso tempo un sudoer può modificare praticamente tutto il resto.
Quali opzioni avrei su OS X per fare questo?