Если уж говорить о способах пакости и доступа к ресурсам сети, то Вам придётся проштудировать буквально ВСЁ. Т.к. VPN клиенты или любой другой способ backconnect'а, даже с клиентской машины, даст админу доступ во внутрь сети, а дальше уже всё намного проще для него…
Собственно, базовые принципы Вы описали еще в вопросе, а дальше рекомендую не накалять отношения. Т.к. по факту, реально защитится от злого уволенного админа выльется вашей фирме в кругленную сумму.
