Пользователь рабочей станции в роли администратора, удаляем через GPO

Идем в AD, выбираем контейнер с нужными нам компьютерами и заходим в его политику. Конфигурация компьютера - Конфигурация Windows - Параметры безопасности.

Выбираем "группы с ограниченным доступом" и добавляем туда доменную группу "Администраторы" . 

В которую мы добавляем группу Администраторы домена, пользователя Администратор, на случай если машина выпадет из домена, то можно будет зайти под локальным администратором. И группу технической поддержки Tech Support, которой не нужны права на домен, но нужны админские права на локальные машины.

При включении данной политики, все пользователи вылетят из группы локальных админов, останутся только прописанные нами в политике. При попытке локального добавления, пользователь вылетит из этой группы при следующем применении политики.

В связи с примененной нами политикой нам необходимо дать группе "Пользователи" разрешение "Изменить" на папку Program Files. Для этого переходим в параметр "Файловая система" и добавляем папку Program Files. Даем "Пользователям" право на изменение и применяем политику.

При следующей загрузке политика применяться и безобразий в сети будет на порядок меньше.