В общем случае это невозможно. Доменный администратор может вернуть себе любые права.
Выход — пересматривать политику безопасности, выдавать административные полномочия минимальному числу людей.
Логи форвардить на выделенные сервера, доступ к которым регулировать отдельно и т.д.
Начиная с 2008 есть выделенные группы для «чукча-читателей логов» — «Event Log Readers».
