Mittels ADRMS bzw. EFS (not preferred) kann bei vorhandenem Rechte Modell ein Administrator administrieren ohne Zugriff auf die geschützten Dokumente zu haben. Es können aber nicht alle Filetypen geschützt werden.
AD RMS Supported Files - Active Directory Rights Management Services - AD RMS - Site Home - MSDN Blogs
Ein Dienstkonto das analog zu einem DRA (Data Recovery Agent) die Files im Notfall natürlich öffnen sollte, ist vielleicht ebenso notwendig wie ein Dienstkonto zum Backup / Restore.
Auch Lösungen die heikle Files in ein Archiv-System aufnehmen (inkl. Retention Policies etc) und mit Berechtigungen des Archiv-Systems vor Admins / unerwünschten Personen schützen, habe ich schon im Einsatz gesehen.
Und nein, nur weil jemand "Admin" ist (welche Rolle ist das bei der Definition eigt), muss diese Person nicht immer Zugriff auf alles bekommen bzw. die Möglichkeit haben sich diesen Zugriff zu beschaffen.
Ebenso, wie ein Vorredner anmerkte, kann auch der Einsatz von organisatorischen Richtlinien sinnvoll sein. Nach dem Motto "Vertrauen ist gut, Kontrolle ist besser" sollte aber auch ein geeigneter technologischer Schutz auf Basis von den Anforderungen (wie lauten die eigt genau) umgesetzt werden.
