Dein Problem wird durch Audit Logs gelöst, d.h. es ist dokumentiert (automatisch) wer wann was wo geändert hat. Auch kann man "Super Admins" haben die im Tagesgeschäft nicht gebraucht werden, also dedizierte Accounts die wirklich alle recht haben, der "normale" Admin hat nur reduzierte Admin rechte für das was normalerweise auch im Daily notwendig ist. Der Super Admin ist dann halt in einem extra KeePass, oder einem Passwordmanager mit einer "Break Glass" Funktion, wo man nur rankommt wenn jemand (CEO? Betriebsrat?) benachrichtigt wird.
Wenn ein Betriebsrat, um bei deinem Beispiel zu bleiben, Probleme mit dem Vertrauen zum Management oder der IT hat, kann er sicherlich ein nicht gemanaged Device erwirken, was weniger Pseudo Security wäre.
Kurzfassung: Ja, du kannst Verschlüsselte Ordner verwenden, nein, das juckt den Admin nicht, wenn es gemounted ist hat er da Zugriff, Thema erledigt.