Runas requer a capacidade de fazer logon interativamente / localmente.
Uma opção pode ser usar o direito "Negar logon através dos Serviços de Área de Trabalho Remota" do Windows e aplicá-lo ao grupo de segurança do qual as contas de administrador são membros. Isso atenuaria parte do movimento lateral dos servidores, mas eles ainda poderiam fazer logon no console.
Para estações de trabalho, outra opção pode ser exigir o uso de uma conta local para funções administrativas locais e usar um produto como o Microsoft LAPS para gerenciar as senhas e a rotação.