Em um ambiente de domínio do AD, as contas locais geralmente são mal vistas porque são mais difíceis de gerenciar / acompanhar. Depois de ter muitas contas locais diferentes com muitas senhas separadas em muitos servidores, você começará a fazer coisas burras inevitáveis, como manter o controle de todas elas em uma planilha, e não alterar as senhas em três anos ...
As contas de domínio geralmente mantêm as coisas muito mais simples.
Você pode usar coisas como Grupos restritos na Diretiva de Grupo para manter o grupo local de Administradores de suas máquinas limpo e previsível.
Se você tem um determinado grupo de máquinas que precisa ser um administrador, mas não precisa ser administrador de todas as máquinas no domínio, então, por favor, sinta-se à vontade para usar a diretiva de grupo para adicionar uma conta específica como um administrador para um determinado conjunto de máquinas. Por exemplo, use a Diretiva de Grupo para atribuir o grupo "Gerentes do Departamento de Contabilidade" ao grupo Administradores em todas as máquinas que residem na UO "Departamento de Contabilidade", etc.
E você está definitivamente no caminho certo de que a administração remota com o Server Core é o caminho a ser seguido. Menos exposição de segurança, tanto em termos de versões do Server Core com menos superfície de ataque, mas também administração remota permite logons de rede, que por si só dão menos exposição ao ataque do que um logon interativo completo via RDP.
Editar: uma última dica ... não use as Preferências da Política de Grupo para criar novas contas líquidas. Isso não é seguro. Adicionar contas de domínio existentes (ou grupos) a grupos locais é bom - mas não use o GPP para criar novos usuários com suas senhas armazenadas no GPP.