Надо разделить права и обязанности администраторов. Есть главная учётная запись - администратор домена, он имеет все права в домене, а остальные - только определённые.
По устройствам:
Администратор сервера терминалов имеет полный доступ к серверу терминалов и может его конфигурировать и ставить туда программы. Но при этом не имеет возможность администрировать домен AD и что-то там менять. Администратор локальной машины имеет полные права только на своём пк. Конфигурировать домен и настраивать сервера он не может.
По группам:
Администратор группы1 может изменять данные пользователей группы2 и не может изменять данные всех остальных пользователей.
Как так настроить? Как создать учётные записи с разными правами администраторов?
Стандартный подход - это расписать требования, создать структуру групп безопасности с разными правами и четкой структурой их имен, описаний и местоположения в AD (последнее - для того, чтобы исключить несанкционированное добавление в эти группы).
Затем каждой группе делегировать необходимые права.
Ну а затем уже просто добавлять учетные записи администраторов в группы.