Я рекомендую создать второго пользователя и дать ему права только они. Вы можете установить срок действия для этой учетной записи, чтобы они могли использовать ее только до истечения срока действия учетной записи. Если вы опасаетесь, что они редактируют свою учетную запись, вы можете предотвратить это с помощью групповой политики или вообще не предоставлять административный доступ или другие средства ограничения доступа к Active Directory.

но прежде всего вопрос в том, доверяете ли вы этой компании в оказании помощи? Обычно эти компании вызывается для конкретной проблемы, например, потому, что они поддерживают свой продукт. И в их интересах не красть информацию, а только выручать.

кроме того, убедитесь, что кто-то смотрит на плечи ИТ-специалиста, если вы действительно боитесь.

powershell [Reflection.Assembly]::LoadWithPartialName('System.Web')^|Out-Null;1..12^|%{[Web.Security.Membership]::GeneratePassword(16,3)}

Если вы предоставляете службе внутреннюю ИТ-инфраструктуру, у вас нет безопасности. Это вопрос порядочности внешнего сервиса компании.

проблема в архитектуре операционной системы, которая не обслуживается отдельной системой на уровне ядра и данных приложения отдельно, маршруты и ссылки.

нет примера такой роли как "аудитор", пример-Novell Netware, функция "аудитор" выполняет только обзорное действие, но не может совершить ни одного изменения.

Если вам нужна охрана, административные учетные записи должны быть только вы.

соответственно, необходимо дать указание на проблемы-сообщения об ошибках и системные приложения, которые могут быть автоматизированы. А зашифрованные сообщения передовать через SOAP или любым другим способом. В обратном направлении вам придут скрипты, которые решат вашу проблему, которые вы просматриваете на предмет возможных повреждений, вынуждены стоять, а затем-применять.

чего вы хотите нет обеспеченности, но игра в безопасности. Потому что командная строка на самом деле-мгновенное администрирование. Применение-еще быстрее. Сколько миллисекунд вы хотите предоставить административной стороне? )))

администратор домена-это домен Admin

любой, кому вы даете полные административные разрешения, может делать все, что угодно, включая установку секретного доступа, фальсификацию журналов аудита, а также доступ и копирование данных по своему усмотрению. Лучшее, что вы можете сделать, выдав временные учетные записи администратора домена, - это создать ложное чувство безопасности для фирмы.

администратор домена - это самые высокие учетные данные, которые могут быть выданы в домене. Она никому не подчиняется и не могут быть ограничены меньшими или равными учетными записями. Если вы хотите ограничить его, вам нужно будет использовать более высокий уровень привилегий, то, что не существует в Active Directory.

учетные данные администратора домена должны быть только в руках тех, кому Вы доверяете. Если сторонний поставщик услуг не может считаться надежным, он не может иметь права администратора домена. Если они должны иметь эти права для предоставления своих услуг, то вы должны сначала решить вопрос о доверии между вовлеченные люди. Это не то, что вы можете сделать с чисто техническим решением.