Как сделать так чтобы группа ИТ отдела могли сбросить пароль пароль пользователей кроме отдела ИТ?

Есть группа ИТ, которые обслуживают пользователей и могут сбросить пароли пользователей и получить доступ к административным общим ресурсам как $ пользователей.
Проблема в том, что эти сотрудники группы ИТ могут сбросить пароли друг друга и получить доступ по $ к дискам. Как ограничить эту ситуацию?