Freddy, como primero a tener en cuenta, a un administrador del dominio no hay forma de limitarlo. Se puede él mismo autolimitar, pero también puede sacarse las limitaciones cuando quiera, ya que para eso es administrador del dominio.
Respecto a tus preguntas. Se puede limitar en qué equipos inicia sesión, pero él lo cambiará cuando desee.
Y para el caso de las GPOs, como se manejan a nivel de dominio, es justamente el administrador del dominio quien puede implementar auditorías de seguridad sobre el Directorio Activo.
Resumiendo: "No se puede luchar contra un administrador de dominio" :-)
Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.
--- Buenos Aires, Argentina
