Enterprise Admins имеет неограниченные права во всем лесе. Даже если ты явно не предоставишь доступа к какому-нибудь объекту, Enterprise Admins может всегда стать владельцем этого объекта и получить доступ.
В компаниях, где заботятся о безопасности, практически всегда делают пустой первый домен для отделения администраторов данного типа. Даже делают так, что выполнить вход в систему под учетной записью с правами Enterprise Admins или Schema Admins можно только по смарт-карте. Данная смарт-карта хранится в сейфе службы безопасности и выдается под роспись.
Объяснить руководству достаточно просто: допустим у тебя в сети появится какой-нибудь админ, который будет считать себя кульным хацкером, и которому премию не дали и он обиделся. Если он получит членство в Enterprise Admins, то сможет произвести деструктивные действия не только во в домене, но и во всем лесе. Пример деструктивных действий, запуск по расписанию скрипта, который создает 10 000 пользователей, потом их удаляет по несколько раз в день. Т.к. удаленные объекты хранятся 60 дней в АД, то в результате база начинает АД раздувается, каналы начинают забиваться репликацией, контроллеры загружены, сеть и сетевые сервисы начинают работать нестабильно. Пользователи начинают простаивать, все отсальные админиы начинаю бегать с выпученными глазами не понимая в чем дело - компания несет убытки. Кроме того, такой админ может просто вырубить весь лес и вообще все встанет - компания начинает нести еще более значительные убытки. А теперь вопрос... Сопоставимы ли убытки компании с затратами на приобритение двух не самых навороченных сервачков?
Вот тебе и обоснование.
