É um pouco difícil de entender o que você está perguntando, mas você não pode ter as duas coisas. Você não pode tê-los como administradores na caixa e, ainda assim, limitar seu acesso a outras coisas. É um ou o outro ....
Por precaução, aconselho não ter usuários como administradores locais em suas estações de trabalho. Coisas ruins geralmente acontecem; geralmente envolvendo você ter que refazer a imagem da estação de trabalho porque eles instalaram algum malware ou outro.
Se você estiver em um domínio, não posso entender corretamente por que seus usuários precisariam adicionar outros usuários à máquina local. Você faz esse tipo de coisa do ADUC, não da máquina local. E se é um local de trabalho pequeno o suficiente, instalar software de que eles precisam não é muito grande coisa. Eu preferiria isso sobre a alternativa eu mesmo.