Como usar a diretiva de grupo para controlar o acesso de administração local (somente local)

Na empresa em que trabalho, temos cerca de 75 usuários de computador. Nós temos um controlador de domínio da Microsoft em nosso ambiente de servidor (MS Server 2012) com o Active Directory.

Quando os usuários precisam instalar o software, eles são solicitados no Windows a usar um nome de usuário e senha administrativos. Isso significa que eles precisam me ligar e eu posso fazer login no computador remotamente (usando o TeamViewer) e depois inserir minhas credenciais para instalar o software.

Eu não quero continuar a ter controle sobre o que os usuários podem instalar. No entanto, para simplificar, quero ter um grupo de segurança no AD onde eu possa adicionar temporariamente um usuário para fornecer acesso administrativo. Esse acesso precisa ser apenas local. Nenhum acesso RDP aos nossos servidores é permitido!

Encontrei alguns exemplos on-line que explicaram como fazer isso e segui as instruções. (Desculpe, eu não tenho mais os links para esses sites). Basicamente, o que eu fiz está abaixo:

Eu criei meu grupo no Active Directory com um usuário adicionado para fins de teste 'Temp Login'.

...ecrieiumGPOeadicioneimeugrupoaos"usuários restritos".

Quandosolicitadoaassociação,euadiciono'Administradores'

Tudo bem, então esse método funciona quase exatamente como eu quero. Eu posso acessar um laptop com o TLogin (conta Temp Login adicionada anteriormente para fins de teste). E eu posso instalar software sem preocupações. Há, no entanto, apenas um problema.

Ainda tenho acesso FULL para usar o RDP para acessar os servidores!

Como posso alterar meu método para permitir somente o acesso LOCAL?