Esta é uma ótima desculpa para começar a garantir que seu ambiente seja seguro por padrão.
O EFS não ajudará você, a menos que o agente de recuperação seja apenas sua conta pessoal. isso pode ser um risco aceitável para os negócios a que eles deveriam estar cientes. Se este não for um sistema portátil (um disco rígido removível ou laptop), as ACLs regulares serão suficientes. A negação da ACL aos outros administradores garantirá que eles não possam lê-la e se você empregar ABE outros os administradores não conseguem ver o arquivo. Não se esqueça de também configurar o isolamento de domínio e servidor . Os operadores de backup também podem ter acesso ao backup do arquivo sem receber acesso para restaurar o arquivo. Esse privilégio substituirá as permissões do arquivo, para que os administradores não tenham acesso ao backup do arquivo e garantam que não poderão ler o arquivo caso decidam tentar restaurá-lo em outro sistema. (isso significa que sim, a equipe de backup e a equipe de restauração serão duas pessoas separadas). Observe que, se eu for um administrador em seu domínio, com acesso físico ao servidor, você poderá lançar tudo isso pela janela. O acesso físico ao servidor permitirá que eu ignore todo o possível. Se isso for que importante, então colocá-lo em uma chave USB em uma gaveta trancada não é uma idéia tão ruim assim. Eu concordo com Kara que uma discussão franca sobre o que eles temem está em ordem, se eles são paranóicos sobre isso. Suspeito que você tenha configurado o domínio e o isolamento do servidor e mostre a eles que, mesmo que alguém tenha as permissões certas, eles só poderão acessar o arquivo de uma estação de trabalho de diretores, o que deve ser suficiente para impressioná-los.
para referências, consulte:
Práticas recomendadas para delegar a administração do Active Directory
Práticas recomendadas para segurança