Vou tomar o rumo oposto como @TheCleaner.
Os hashes de senha dessas contas de Admin. de Domínio provavelmente estão em toda a sua rede, aguardando apenas um cenário de passagem. Por isso, recomendo que você remova essas contas dos administradores de domínio imediatamente e comece a usá-las como usuários limitados. (Você também deve alterar as senhas também.)
Este método também tem as vantagens distintas de não requerer qualquer perfil "voodoo" e, esperançosamente, não alterar quaisquer permissões em recursos como diretórios home, que deveriam ter o usuário nomeado de qualquer maneira. Isso também preserva as caixas de correio do Excahnge no local.
Crie novas contas de membros do Admin. do Domínio com restrições de logon limitadas apenas aos computadores do Controlador de Domínio. Essas contas nunca devem ser usadas para fazer nada além de fazer logon em computadores com Controladores de domínio para limitar a exposição de seus hashes de senha.
Esta será uma transição difícil, e você vai se deparar com coisas que estavam trabalhando em computadores-cliente apenas porque suas contas de usuário eram implicitamente membros do grupo "Administradores" local. Você provavelmente pode tornar essa pílula um pouco mais fácil de engolir usando outro aninhamento de grupo (digamos, "Ex-administradores de domínio") para conceder a essas contas direitos de administrador locais. Eventualmente você vai querer se afastar disso também.