Se eles precisarem de acesso de administrador a suas máquinas, mas não ao domínio em geral, você poderá:
- individualmente, dê a eles acesso administrativo à máquina local (bem se houver uma ocorrência rara) ou
- Crie um grupo de domínio, crie uma UO de computadores em que essas pessoas precisem de direitos de administrador, atribua os direitos de administrador do grupo somente a UO (razoável, mas muito trabalho se esse for um cenário raro) ou
- crie um grupo de domínio, atribua a ele permissões personalizadas para administrar todos os computadores no domínio, mas não o domínio em si (menos preferível)