Источник:
Добавляем доменных пользователей в локальную группу безопасности
Группы с ограниченным доступом, или Restricted Groups
0. Создаем группу в домене например с именем HelpDesk и добавляем в нее пользователей которым нужны будут права локального админа 1. Создаем групповою политику 2. Настраиваем Конфигурация компьютера\Политики\Параметры безопасности (Computer configuration\Policies\Security Settings) Сначала добавляем в Restricted Groups доменную группу HelpDesk, а уже ее в группу Администраторы 3. Прикрепляем к нужной OU