Se este computador estiver em um domínio do Active Directory, eu controlaria isso por meio da Diretiva de Grupo. (Você pode usar grupos restritos por meio do GPO, que adiciona membros ao grupo de administradores locais e, ao mesmo tempo, remove membros que não deveriam estar lá.)
Se este computador não fizer parte de um domínio, basta executar
C:\>net localgroup Administrators billybob /add
Você também pode executar a linha acima em um arquivo de lote.