Minha primeira recomendação é que você dispense os direitos administrativos dos usuários. Isso tornará sua vida muito mais fácil no final. TÃO MAIS FÁCIL! Os usuários têm uma tendência a realmente atrapalhar seus computadores quando são administradores ... Vírus, spyware, barras de ferramentas, freeware junky, altere essas configurações, exclua esse arquivo ... apenas não lide com isso.
Dito isso, se você realmente tiver que conceder direitos de administrador aos usuários, poderá criar facilmente um usuário de domínio com direitos de administrador local em cada computador. Comece criando um usuário no AD. Em seguida, crie uma política de grupo e aplique-a a todas as estações de trabalho. Nesta política de grupo, veja abaixo:
Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Restricted Groups
Adicione um novo grupo restrito e verifique se os administradores do domínio e o usuário que você acabou de criar são membros dele. Isso não permitirá que você adicione nenhum outro administrador local a essas máquinas, mas simplesmente realizará o que deseja fazer.