Parece que isso é causado pela Diretiva de Grupo. Executar a ferramenta "Resultant Set of Policy", apontando para uma estação com falha e usando um usuário com o problema, deve levá-lo a um ponto em que você sabe qual política está causando isso.
Então você só precisa pensar de maneira sensata, como um grupo de segurança separado.
O administrador local não receberá políticas aplicadas, pois não está no domínio. No entanto, qualquer pessoa que você adicionar a "Administradores locais" ainda receberá exatamente as mesmas políticas de antes.