Работа посвящена решению задачи по усечению возможностей по администрированию и контролю действий привилегированных пользователей. В настоящее время особенно важна организация защиты от действий внутренних пользователей - инсайдеров, а злоумышленники, являющиеся привилегированными пользователями, представляют наибольшую опасность. В работе рассмотрена технология, заключающаяся в том, что в средстве защиты реализуется два уровня иерархии администраторов, при этом администратор безопасности способен разграничивать права для других привилегированных пользователей. Предлагается подход, основанный на разрешении доступа к защищаемому объекту файловой системы или реестра только соответствующей библиотеке, которая включает в себя интерфейс настройки. При реализации данного подхода возможности привилегированного пользователя определяются системой защиты.