Esta é realmente uma questão pessoal e não um problema de TI. Se os usuários com privilégios administrativos não puderem respeitar as regras, eles não devem ter privilégios administrativos.
Mesmo se houvesse uma maneira fácil de impedir um logon interativo, não há nada a dizer que não possam contornar isso - por exemplo, eles poderiam finalizar o explorer.exe e reiniciá-lo como seu usuário administrador, dando efetivamente -los um ambiente administrativo completo. Se você der a eles como, você dá tudo a eles.