IMO, se você está permitindo que ele instale coisas (e você não confia nele), então você já comprometeu a integridade da rede. :)
Dito isto, aqui está uma sugestão:
Use as configurações de Grupos restritos para adicionar sua conta de domínio ao grupo "Usuários avançados" nas estações de trabalho.
Ressalva: Isso pode não permitir que ele instale drivers, pois eles são do nível do sistema e exigem permissões de Administrador.
Usuários avançados podem instalar software, mas não são administradores completos. Para mais informações sobre as diferenças, veja esta pergunta do SU: Diferença entre usuário avançado e administrador
Links do tutorial:
- Adicionando usuários a grupos locais de segurança usando a Diretiva de Grupo (fala especificamente para adicionar usuários ao grupo Usuários avançados)
- Fazendo isso com o Grupo Política Preferências em vez