そういうことでは?

普段はドメインに入っているPCがあるとしますよね?
こいつにドメインを経由せずに(ローカルなユーザーで)ログインする権限があるとします。出張時など、社内LANに繋げないときのために、これは必要です。

問題はこの際に、このユーザに Administrator 相当の権限を与えてしまってから、ドメインに参加するようにする、というインストールパターンがありえる点です…つーかどっかで聞いたことのある…まぁ、ともかく。

この「ローカルユーザー」はシステムディレクトリを変更できます。
で、システムディレクトリを変更後、今度はドメインに参加する形でネットワークに入り込みます。すると、
「本来、このドメインユーザーができてはいけないはずの」
操作の内、ローカルディスク上に情報がそんざいするものや、ローカルディスク上にも設定が存在するもの、等が全部叩き潰せます。

たとえば、USBメモリをさしても有効にならないように設定→無効化し、さらに嘘の報告をさせるプログラムを用意、などなど、です。

現物を直接操作して確認しているわけではないので、いま一つ『深刻な状況を作ろう』という気概に欠ける例でしたが、このようにIT部隊が行おうとする締め付けを逃れるための手法が用意できてしまう、と言うのは問題だと思います。

.

ITの裏をかいた段階ですっかり満足してそれ以降の変更を放置、外部からの侵入者を欣喜雀躍させる…なんて事もありそうですよね?