Primeiramente, você precisa confiar nos seus administradores. Se você não fizer isso, eles não devem ter esse trabalho ou esses privilégios. A empresa confia na pessoa de finanças ou de RH que tem acesso a esses dados, então por que não a equipe de TI? Lembre-os de que os administradores têm a capacidade de desfazer o ambiente de produção todos os dias, mas optam por não fazê-lo. É importante que a gerência veja esse problema com clareza.
Em seguida, como @ sysadmin1138 diz, lembre aos administradores que o acesso NÃO é uma permissão igual.
Dito isto, não concedemos aos administradores de domínio acesso a compartilhamentos de arquivos por padrão. Eles são removidos e, em seu lugar, três grupos de ACL (Read, Write, Admin) para cada compartilhamento de permissões NTFS. Ninguém está no grupo Admin do ACL por padrão e a associação a esses grupos é monitorada.
Sim, os administradores de domínio podem se apropriar desses arquivos, mas isso deixa um rastro. Auditoria é importante. Ronald Reagan chamou isso de "confiança, mas verifique". As pessoas devem saber que você está verificando.
Por fim, comece a remover pessoas dos administradores de domínio. As permissões do AD são muito fáceis de granularizar hoje. não há razão para não fazê-lo. Dê às pessoas acesso administrativo aos servidores ou serviços que eles gerenciam, não tudo.