Eu vou em frente e levo meu comentário para responder.
Terá que ser de terceiros. Como você já apontou, nenhuma das três opções mencionadas é ótima. A Microsoft não fornece uma maneira perfeita de fazer isso. Não há apenas um. Será de terceiros e quase certamente envolverá a instalação de um agente de software em todos os seus clientes.
Eu desenvolvi uma solução para este problema exato (exceto que ele trabalhou em várias florestas e domínios simultaneamente) e envolveu o VBscript para compatibilidade máxima com o máximo de versões diferentes do Windows, bem como alguns bits C #, bem como um agente de software de terceiros que, felizmente, a empresa já estava usando para fins de monitoramento e, portanto, já estava instalado em todas as máquinas, que eu pude alavancar.
Como alternativa, você pode simplesmente desativar todas as contas de administrador local por meio do GPO, o que é bastante comum. Mas se algo der errado com a sincronização de domínio nesse membro do domínio, a recuperação será mais PITA do que se você tivesse uma conta de recuperação "admin local".
Edit: Só para esclarecer: Estou confuso quando você diz que está "procurando por uma solução não-terceirizada que ... deve ser capaz de ser desenvolvida internamente ..." Eu consideraria qualquer coisa que não fosse escrito pela Microsoft como um componente incorporado do Windows neste contexto "terceiros". Você pode fazê-lo com algum código inteligente que usa comunicações de rede TLS e armazena os segredos em um banco de dados do SQL Server com criptografia de dados transparente com alguma função hash complexa que gera uma senha exclusiva para cada máquina? SIM. Ele é incorporado ao Windows sem o esforço necessário de sua parte? NÃO. :)