other_letter

Вы не описали кучу условий типа рода деятельности, категории обрабатываемых перс. данных и прочего.
Но короткий ответ - тип редакции операционной системы юридически никак не ограничивает работу компании в пределах РФ.

Есть ограничения при обработке данных разных категорий, но они не связаны с редакцией ОС.

Короче, отвечаю сам же.
1. Грузится с установочного диска
2. Начинаем установку
3. В процессе видна сама просит пароль (напоминаю, он известен)
4. В итоге предлагает восстановление и возможность загрузки в безопасном
5. Далее через cmd расшифровываем оба диска (процедура длительнвя)
6. Все.

В целом откликнувшихся ранее я поддерживаю - если уж нет знаний, лучше не брать ответственности на себя.

обход ...админа .... аудит локальной сети и её безопасности(сеть на базе windows server AD+DS)

Какие права есть? Админ домена есть?

1) найти незакрытых локальных юзеров

Можно хоть PS-скриптом собрать локальные учётки. Если есть права админа опять же.

2) открытые порты и пробросы

Пробросы - сложнее (доступ нужно будет), а открытые порты послушать можно дофига чем.
Учтите, что пробросы могут не работать через некоторые устройства (конкретно - свитч вполне может резать левак, например)

3) исключить левый вывод инфы

По сути нереально.
Самое распространённое это отрубать флешки и запрещать лишние сетевые ресурсы. Софта для этого дофига, можно при наличии прав и скриптами обойтись.
Файлообменники - боль, причём непростая. Ну, допустим, у вас прокся умеет обновлять списки блокировки и есть подписка на оные... Но в некоторых случаях это не помогает - конкретно с гуглом и яндексом точно.

===
Подход совсем неверный. Совсем.
Сейчас идёт какая-то копанина под сисадмина. Это неправильно потому что неконструктивно. Если ему доверяют - не нужно скрывать аудит. Если не доверяют - надо выгонять сразу, ибо как ни крутите со своей стороны полномочия админа позволят ему натворить что угодно.

Как правильно:
1. Договоритесь с руководствам о принципах. Ну, вот - доступ только членам домена. ОК.
Поговорите про печать, про пересылку по почте, про флешки и личные телефоны (запретить подключать к компам), политику общих сетевых ресурсов.
2. Продумайте как будете мониторить изменения на файловых ресурсах. Вариантов много, удобные платные, бесплатные неудобны.
3. Продумать кому какие права давать и как их мониторить.
4. Продумать какое ПО и как мониторить его.
5. Закрывать ли какие-то сетевые ресурсы? Как мониторить.

(это на первое время)
Всё это потом аккуратненько описываете в стратегии "to be", сопровождаете списком необходимого для...

В большинстве случаев если у юзера есть доступ к файлу - он его вполне сможет скопировать и кому-то передать. И я советую не слишком зверствовать в отношении запретов, а направить усилия в сторону внешних подключений (чтобы нельзя подключиться извне и "высосать") и мониторинга.

Паранойя - да, верно. Я бы тоже не пустил.
Вообще эти парни проедают плешь вот отчего - так их работа станет существенно легче. Лучше будет вписываться в типовые рамки и всё такое.

Им-то Ваши данные из бухгалтерии наверняка нафиг не нужны. Однако, имейте ввиду, что хранятся подобные сведения (часто это что-то вроде файлика client5.txt с логинами-паролями или просто расшаренная паролехранилка) доступны большинству их работников, а ввиду их ротации в принципе не контролируются.