Хотелось бы обсудить такую неоригинальную тему, как защита нескольких локальных (не путать с автономными) АРМ от доменного администратора (если быть точным, то нужно исключить возможность считывания информации с локальных [физических и виртуальных] жёстких дисков, а также просмотра экрана и буфера обмена) при условии, что сетевой доступ у него есть, а локального нет. Лично я вижу следующие пути:
1.
1.1 Поднятие собственного домена в собственном лесу.
1.2 Установка доверительных отношений между "своим" и "старым" доменом.
1.3 Перенос всех компьютеров и пользователей в собственный домен.
1.4 Запрет (с помощью локальных межсетевых экранов) входящих подключений к локальным АРМ со всех адресов кроме "нового" домена.
1.5 Ограничение входящих подключения (с помощью локального межсетевого экрана с функцией SPI и IPS/IDS) к "новому" домену со стороны "старого".
Минус - придётся плотно заниматься администрированием новой сети.
2.
2.1 Отключить админские шары.
2.2 Отключить применение групповых политик и logon-скриптов.
2.3 Поставить локальные межсетевые экраны с функцией самозащиты, SPI и IPS/IDS.
Минус - придётся детально прорабатывать Traffic Police и правила межсетевого экранирования, поэтому предпочтение правилам, ранее подготовленным и протестированным, или средствам защиты. имеющим корректные предустановки.
3.
3.1 Отключить админские шары.
3.2 Отключить применение групповых политик и logon-скриптов.
3.1 Создать изолированную программную среду с помощью, к примеру, Secret Net Studio (если есть альтернативы, называйте).

Хотелось бы обсудить такую неоригинальную тему, как защита нескольких локальных (не путать с автономными) АРМ от доменного администратора »Это не техническая задача, а административная. Зачем это нужно, что привело к такой неестественной ситуации?

Почему не техническая? После выстраивания системы контроля обычных пользователей заказчики всё чаще интересуются контролем привилегированных пользователей (vGate, CyberArc, Wallix, BalaBit и т.д.).

superpalych, для этого нужна нормальная служба информационной безопасности, которая будет регламентировать и контролировать работу сисадминов. Во всех остальных случаях злонамеренный системный администратор с большой долей вероятности сумеет сделать что-то нехорошее.

P.S. А после того как заказчики выстроят систему контроля сисадминов, они будут выстраивать систему контроля специалистов ИБ? :)

для этого нужна нормальная служба информационной безопасностиДля того, чтобы продать что-нибудь ненужно, нужно сперва купить что-нибудь ненужное, а у нас денег нет.

Хотелось бы обсудить такую неоригинальную тему, как защита нескольких локальных (не путать с автономными) АРМ от доменного администратора (если быть точным, то нужно исключить возможность считывания информации с локальных [физических и виртуальных] жёстких дисков, а также просмотра экрана и буфера обмена) при условии, что сетевой доступ у него есть, а локального нет. »Откуда такая потребность возникает?
Почему не техническая? »
Например, "плохой" администратор домена меняет пароли на все ваши учетные записи -> у вас остаются локальные учетные записи. Что делаем? Зачем тогда нужен домен?
1.2 Установка доверительных отношений между "своим" и "старым" доменом. »Про направление доверия (https://technet.microsoft.com/ru-ru/library/cc731404%28v=ws.11%29.aspx) забыли.
Ограничение входящих подключения (с помощью локального межсетевого экрана с функцией SPI и IPS/IDS) »
контролем привилегированных пользователей (vGate, CyberArc, Wallix, BalaBit и т.д.) »
Создается ощущение, что я на презентации. Кстати, каких администраторов будете контролировать вышеперечисленным?
Для того, чтобы продать что-нибудь ненужно, нужно сперва купить что-нибудь ненужное, а у нас денег нет. »А перечисленные вами решения вас устраивают по ценам?

Опишите реальную ситуацию и то, чего вы хотите добиться.