other_letter

В целом откликнувшихся ранее я поддерживаю - если уж нет знаний, лучше не брать ответственности на себя.

обход ...админа .... аудит локальной сети и её безопасности(сеть на базе windows server AD+DS)

Какие права есть? Админ домена есть?

1) найти незакрытых локальных юзеров

Можно хоть PS-скриптом собрать локальные учётки. Если есть права админа опять же.

2) открытые порты и пробросы

Пробросы - сложнее (доступ нужно будет), а открытые порты послушать можно дофига чем.
Учтите, что пробросы могут не работать через некоторые устройства (конкретно - свитч вполне может резать левак, например)

3) исключить левый вывод инфы

По сути нереально.
Самое распространённое это отрубать флешки и запрещать лишние сетевые ресурсы. Софта для этого дофига, можно при наличии прав и скриптами обойтись.
Файлообменники - боль, причём непростая. Ну, допустим, у вас прокся умеет обновлять списки блокировки и есть подписка на оные... Но в некоторых случаях это не помогает - конкретно с гуглом и яндексом точно.

===
Подход совсем неверный. Совсем.
Сейчас идёт какая-то копанина под сисадмина. Это неправильно потому что неконструктивно. Если ему доверяют - не нужно скрывать аудит. Если не доверяют - надо выгонять сразу, ибо как ни крутите со своей стороны полномочия админа позволят ему натворить что угодно.

Как правильно:
1. Договоритесь с руководствам о принципах. Ну, вот - доступ только членам домена. ОК.
Поговорите про печать, про пересылку по почте, про флешки и личные телефоны (запретить подключать к компам), политику общих сетевых ресурсов.
2. Продумайте как будете мониторить изменения на файловых ресурсах. Вариантов много, удобные платные, бесплатные неудобны.
3. Продумать кому какие права давать и как их мониторить.
4. Продумать какое ПО и как мониторить его.
5. Закрывать ли какие-то сетевые ресурсы? Как мониторить.

(это на первое время)
Всё это потом аккуратненько описываете в стратегии "to be", сопровождаете списком необходимого для...

В большинстве случаев если у юзера есть доступ к файлу - он его вполне сможет скопировать и кому-то передать. И я советую не слишком зверствовать в отношении запретов, а направить усилия в сторону внешних подключений (чтобы нельзя подключиться извне и "высосать") и мониторинга.

Сильно зависит от технологий, используемых способой аутентификации и т.п.

Если я правильно понял вопрос, то Вам по сути нужно:

1. Сделать список всех элементов (разделов, виджетов и т.п.)
   
2. Сделать список ролей (админ/пользователь и т.п.) Не рекомендуется ,конечно, привязываться к "телу", лучше к роли
   
3. Сконфигурировать роли (какая роль имеет доступ к какому элементу)
   
4. отобразить результат в (лучше древовидном) виде элементов
   

...но всё это настолько просто, что я сомневаюсь - правильно ли понял вопрос.

Можно копнуть фундаментальнее:
Эти самые роли длячего-то предназначены. И их функционал должен быть где-то описан. У меня это обычно описание процесса (Process Model).
...но если Вы займётесь этим - там очень много работы.