Sim, trabalho manual ou script, para o que você está descrevendo. O problema será se o grupo principal estiver usando algo como Grupos Restritos no AD (o que provavelmente deveria ser), o que eliminará as alterações manuais em cada atualização do GPO.
O que você deve fazer é obter um GPO para adicionar um determinado grupo de segurança a administradores locais em um determinado grupo de máquinas Windows e permitir que você seja o gerente do grupo, para que você possa adicione / remova membros dele conforme necessário. As ferramentas estão todas lá; use-os da maneira certa.