У каждого админа своя учётка.
Если увольняется админ, в AD меняете пароль/блокируете учётку. На машины вне домена доступ должен быть ограничен через rdp только с определённой машины, которая в свою очередь в домене. Прямой доступ с правами администратора к базам только с локального хоста либо со специальной машины для управления, без прав (только чтение, запись в разрешённые таблицы/базы) с любой машины.
У вас же везде windows, почему не всё в домене?