Os usuários conectados via VPN devem ter conectividade com um controlador de domínio (possivelmente somente leitura) para confirmar a autenticação da conta. Isso soa como o centro do seu problema particular. Se o computador com Windows não puder ver o Active Directory, ele não poderá confirmar nenhuma alteração baseada em domínio, incluindo seus administradores que tentam tornar o usuário um administrador. Trabalhe com seu provedor de VPN para garantir que as regras de firewall apropriadas estejam configuradas para autenticação baseada em domínio.
Com o usuário conectado à VPN, o administrador do sistema deve ter uma ferramenta de acesso remoto para poder compartilhar a tela e visualizar as janelas de controle do UAC que aparecem. O Dameware e a ferramenta integrada de Assistência Remota funcionam bem. O WebEx não exclui a sessão remota quando o prompt do UAC é exibido.
Usando a ferramenta de acesso remoto, o administrador do sistema pode clicar com o botão direito do mouse em um arquivo do instalador e selecionar "executar como administrador" ou "executar como outro usuário" e usar as credenciais de administrador para executar o instalador. À medida que o usuário é conectado à VPN, o computador poderá se autenticar no Controlador de Domínio do Active Directory e conceder ao administrador acesso para executar o instalador. Isso também "armazena em cache" as credenciais para uso futuro, como se o administrador estivesse logado localmente e o usuário não visse ou conhecesse a senha do administrador a qualquer momento.
Se for um arquivo MSI ou requerer a linha de comando, clique com o botão direito do mouse no ícone Prompt de Comando no menu Iniciar da mesma maneira acima e depois de autenticar use o MSIEXEC para instalar o MSI.
O LAPS, como mencionado por Slipeer, será algo a ser configurado em uma data posterior, já que não resolve o problema imediato. Ele soluciona o problema em que um usuário não tem conectividade de rede ou VPN, permitindo que o Active Directory gerencie contas de administrador locais individuais, mas se o usuário remoto não puder se conectar ao domínio por VPN agora, ele não poderá ser enviado ao sistema.
Se você não puder usar uma ferramenta de acesso remoto para passar pelo UAC, poderá usar o compmgmt.msc em uma máquina local, conectar-se à máquina do usuário, criar uma conta de administrador local temporária e usá-la acima e desativá-la antes o usuário se desconecta da VPN. Novamente, isso só pode ser feito se você tiver conectividade com um controlador de domínio do Active Directory.