Beh mancano un po' di info...ad esempio non sappiamo nulla sull'infrastruttura, neanche se è un dominio nt e chi è il DC (win2003, 2008, samba...) e tanto altro (tutto). IMHO, non vedo il problema; in un'infrastruttura decente l'admin dovrebbe accorgersi di attività sospette, a prescindere che esse vengano da fuori, da un pc interno che ha fatto boot da cd con una BackTrack o altro oppure da un qualsiasi host virtuale o fisico che sia, dove l'utente può avere accesso da amministratore (locale ovviamente). In ogni caso quando l'utente X ha accesso alla macchina potrà sempre provare a fare qualcosa. A meno che non gli blocchi il case con un lucchetto potrà sempre fare il boot da cd o usb e portarsi da casa quello che gli serve per fare potenziali danni(sempre che tu non usi 802.1X). Se il problema è l'accesso da admin LOCALE U1 potrebbe fare anche così (senza tante virtual machine): l'utente U1 si porta da casa una Trinity rescue kit, fa il boot da cd (se non è abilitato lo abilita da bios, se non ha il cd fa boot da usb, se il bios ha una password apre il case e resetta togliendo la batteria o utilizzando il jumper apposito...), cambia la password di Administrator locale con il comando ntpass ed è pronto (ma in un'infrastruttura "sicura" sarebbe tanto che prima...) Dunque la risposta alla domanda "cosa può fare il malcapitato admin", secondo me, è che admin non dev'essere "malcapitato" e che se U1 fa attività in malafede se ne deve accorgere (dopo aver preso tutte le precauzioni per evitarlo) e....spaccargli le gambe? :p Piro. Il giorno 27 novembre 2009 11.22, Roberto Cavada <cavada@xxxxxx> ha scritto: > Ciao, > eccovi un servito un bel problema (per me) da risolvere con molta > soddisfazione. >