Как вариант - создать пользователя, который будет входит в группу админов на локальных компах(ну или Domain admins
) - через групповую политику - restricted groups, и дать имя пароль пользователям. Запускать установку программ через Shift+правая кнопка мыши - запуск от имени. Вводим имя-пароль и устанавливаем.
Учетку админа потом в AD отключаем. Когда надо включаем. По моему самый простой способ.
