Пишу техническое задание на развёртывание офисной сети в новом офисе(сюда входит как покупка железа, так и настройка ПО), заказчику(преподавателю) не понравилась следующая строчка "Необходимо обеспечить управление с места админа как отдельным ПК, так и всеми ПК(как одним объектом".
Вдруг админ напьётся и завершит процесс пользователя, а тот работал неделю не сохраняясь.

А у меня сложился стереотип, что ограничить админа может только сам админ. И любое ограничение он может снять(причём легко и быстро).

Как ограничить админа?

Как вариант можно дать ему ограниченную запись администраторы, но имея физический доступ к серверу разве он не сможет загрузиться с диска и поменять свои права(сервер внутренний, поэтому его ночью можно перезагрузить).

Можно отдать половину пароля администратора начальнику, а половину админу, так чтобы по одиночке они не могли админить по полной.

В общем как ограничить админа если это просто офис с большим количеством ПК, а не АЭС? И как это делается на практике и делается ли вообще?
В первую очередь интересуют ответы (по однородной сети win), но также нужно ответы по однородной *.nix и разнородной *.nix win(причём *.nix на рабочей станции
это нормально).

Как ограничить админа? »
Админ такой же сотрудник как и остальные... Как например ограничить главбуха в своих возможностях? Или начальника тех службы? Как ограничить права уборщицы? По моему это одинаковые вопросы... Я думаю, что для этого существует должность начальник, должностные инструкции, санкции(в крайнем случае) и трезвая голова(в плане чтобы людей не дебилов подбирали). В ИТ сетях должен быть человек, который имеет право на все, по сути Бог(утрирую конечно).
А почему в ТЗ описываются права админа? Я думал там описывают как сеть должна быть структурирована, построена и проч подобные вещи....

Сеть от админа можно защитить как ядерную кнопку от президента.

ferrum2688, я не советчик в этом, по по-моему тогда роль админа, как такового не нужна. Если уборщице не давать ключи от кабинетов, в которых она моет, зачем она нужна?
На самом деле в никсах можно предоставить права admins, но при этом root'а не давать. В винде вряд ли такое выгорит.

Можно отдать половину пароля администратора начальнику, а половину админу, так чтобы по одиночке они не могли админить по полной »
Есть такая практика. Все настраивают, затем определяют права администратора. После этого пароль на доменного администратора задается двумя людьми. Обе половины пароля запечатываются в конверт. Определяется место хранения конверта, лицо ответственное за хранение, перечень лиц, присутствие которых обязятельно при вскрытии конверта, наказание за несанкционированное вскрытие и сам порядок вскрытия. Но такая практика применяется как правило в 2 случаях - нелояльный админ (гнать его в шею, если есть подозрения, что он может что-то умышленно натворить, потому что одна из основ информационной безопасности - админ должен быть лояльным), либо если на кону стоят больщие деньги.
А вообще madmax24 прав - это описывается не в ТЗ на локальную сеть, а в положении о внутренней/информационной безопасности.