[zero55]

немного не с того начинаете.

1. администарторы для рабочих станций должны быть одни а для серверов другие
под учеткой администратора домена не должно выполняться никаких сервисов и ходить под этой учеткой по рабочим станциям нельзя.
2. право удаленного администрирования есть только у локальных администраторов.
Если вы не будете давать таких прав всем кому попало то этот вопрос закрыт.
3. обратите внимание на группу Powers Users и Remote Desktop Users.
Без необходимости в ней никого быть не должно

О раздаче прав:
для назначения прав локальных администраторов создайте группу в AD, например "Local Admins" и через политику Restricted Groups включите ее в локальную группу "Администраторы"

О локальных пользователях:
После настройки Restricted Groups отключите учетную запись локального администатора (в безопасном режиме она включается сама)