net localgroup Os administradores [username] / add / domain promoverão o usuário como administrador local, em vez de precisar fazer isso manualmente.
Quanto à sincronização de senhas, não há nenhuma maneira legítima de descobrir a senha existente de um usuário (embora existam hacks, mas é melhor evitar) Então, isso só poderia ser feito em uma alteração de senha.
O problema que vejo com sua abordagem é que as duas contas terão arquivos e configurações totalmente diferentes. Assim, nenhum muito viável. Como uma única conta de administrador local com os Emirados Árabes Unidos seria mais viável.
Se você acha que não é seguro o suficiente, você pode adicionar uma política de software para impedir que o usuário execute software não oficial. Você pode fazer isso a partir da política de grupo ou usar uma ferramenta personalizada: link
Tenha em mente que ser um usuário limitado não é uma panacéia de segurança. A razão pela qual a maioria dos malwares é bloqueada é porque os malwares não foram projetados para serem executados sob direitos limitados.