Чтобы сделать требуемое не вставая с места, можно воспользоваться Консолью управления GPO на DC. Перейти в конфиг. компьютера-Настройка-Локальные пользователи и группы. Добавить новую группу, в списке выбрать Администраторы, а ниже в окне выбрать членов этой группы из каталога (нужного программиста). Потом в Фильтре безопасности выставить уч. запись нужного ПК на чтения данного объекта групповой политики, чтобы не разлетелось всем сразу. Все. После перезагрузки у программиста все права на свой ПК, а про безопасность вас предупредили, на своем ПК он может воровать и убивать.