会社で使っているドメイン(example.com)参加のノートPCを他所に持ち出し、会社ドメインを詐称したドメイン(偽のexample.com)に接続することを禁止したいと思っています。
そもそもドメインコントローラの信頼性はどのように担保しているのでしょうか?
DNSのように親となるDNS権威サーバが担保しているのであればわかるのですが、、

前提として会社のPCは以下のようになっています。
・一般権限(GPOで設定)。ドメインアドミンのID/PASSは公開していない
・ユーザアカウントの作成はGPOで禁止している
・ローカルログイン(workgroup)はできない(ID/PASSを内緒にしている)