Granularitu oprávnění pod Windows lze i bez AD dirigovat přes skupiny místních uživatelů + gpedit, nicméně v doméně je to snazší, definuješ skupiny v AD a pomocí doménových GPO pak zajistíš úrovně přístupů a povolení na stanicích..
"Nedotknutelnost" admina rozhodně zaijstit nelze, pokud nemáš jen a právě jednoho správce (fyzickou osobu). Jakmile je adminů více, vždycky budou mít oprávnění měnit a prohlížet ostatní adminy na stejné úrovni - tedy pokud se bavíme o doménových sítích. Pokud jde o lokálního admina, a práci na jednotlivých oddělených počítačích, které spolu komunikují maximálně na úrovni sdílení, pak tato podmínka platí, nikdo adminovi nemůže koukat pod ruce - pokud si ho někdo, kdo má fyzický příštup k počítači, nelouskne..