1) Не надо путать аккаунт Administrator и группу Administrators. Любой член группы администраторов имеет все права, т.е. админ уже не один (может быть). К тому же, на сетевом компьютере есть _два_ администратора - один локальный и второй - сетевой. Первый имеет абсолютное преимущество, второго можно лишить вообще всего.
2) Системой _предусмотрено_ ограничение функций любого аккаунта или группы (в том числе Administrator).
3) Система для своих целей использует ряд других аккаунтов для выполнения критичных (с точки зрения прав) операций, в частости, есть аккаунт SYSTEM.
4) Все права для групп и аккаунтов определяются Security Policy. Естественно, что неосторожное обращение с этим может "обрубить ветку", но вс╦ можно сделать грамотно.
Так что вопрос "кто такой администратор" сводится к тому кто имеет соответствующие права (аккаунт или группа).
Можно, к примеру, легко лишить любого администратора доступа к к файлам пользователя. Другое дело что администратор может их вернуть (хотя и это можно запретить), но си╦ деяние не останется незаметным, впрочем.
В отличие от *nix, в Win2K(3)/XP очень мощная и гибкая система, которая позволяет с высокой точностью разграничивать доступ к чему угодно, полного эквивалента "root" там нет.
Да и не такой он страшный зверь, этот администратор... Можно открутить ему вс╦ что откручивается