У обычных пользователей не должно быть пав локальных администраторов
Для нормальной работы, обычно недостаточно деление всех сотрудников только на обычных пользователей и доменных админов. Microsoft, как бы, в курсе этого, и предусмотрел нормальные подходы для реализации правильного распределения прав без особой потери эффективности.