Ele exigiria acesso de permissão de leitura ao sistema de arquivos inteiro em todos os computadores do ambiente (assim, provavelmente, um administrador local - e um administrador de domínio para ler todo o sistema de arquivos nos Controladores de Domínio); embora um usuário padrão possa ler permissões na maioria (se não em todos) do próprio AD.
Isso nem leva em conta o acesso necessário para ler e interpretar permissões em bancos de dados, aplicativos da Web e outros serviços no ambiente.
O problema é que não existe um método prático real para determinar qual acesso cada principal tem para tudo em um ambiente - além de um processo de documentação detalhado e metódico ao configurar inicialmente o acesso. Ou seja, aproveitando vários grupos exclusivos para cada aplicativo, recurso e serviço que são anotados com o acesso preciso que cada grupo confere. É claro que tudo isso precisa ser planejado e implementado antes de tentar reunir essas informações.
Mas se você estiver apenas procurando permissões do sistema de arquivos do Windows, atribuições de direitos de usuário e acesso ao AD, um administrador de domínio combinado com um administrador local em todos os computadores (supondo que você esteja seguindo as práticas recomendadas e administradores de domínio NÃO tenha acesso para servidores membros e estações de trabalho).