[Michael]

Цитата ferrum2688:

Можно отдать половину пароля администратора начальнику, а половину админу, так чтобы по одиночке они не могли админить по полной »

Есть такая практика. Все настраивают, затем определяют права администратора. После этого пароль на доменного администратора задается двумя людьми. Обе половины пароля запечатываются в конверт. Определяется место хранения конверта, лицо ответственное за хранение, перечень лиц, присутствие которых обязятельно при вскрытии конверта, наказание за несанкционированное вскрытие и сам порядок вскрытия. Но такая практика применяется как правило в 2 случаях - нелояльный админ (гнать его в шею, если есть подозрения, что он может что-то умышленно натворить, потому что одна из основ информационной безопасности - админ должен быть лояльным), либо если на кону стоят больщие деньги.
А вообще madmax24 прав - это описывается не в ТЗ на локальную сеть, а в положении о внутренней/информационной безопасности.