1) В AD создаете группу безопасности, долустим Localadmins
2) В GPO, в подразделении - там где находятся нужные компьютеры (например компы сунуты в папку "рабочие станции") создаете политику и в ней добавляете в локальную группу администраторов - группу Localadmins и администраторов домена. Желательно поставить галку - удалять других членов группы, чтоб не было возможности обходить отсутствие прав.
3) В политике находите пункт "запретить доступ компьютеру из сети" - и добавляете туда Localadmins. Это предотвратит заражение примитивным сетевым червем всего офиса через админскую учетку пользователей.
4) Обновляете GPO на клиентской машине (ну или перезагружаете)
5) Добавляете нужных пользователей в группу Localadmins, они получают админские права на свои компы, при этом не являясь администраторами домена и других подразделений. Лазать по сетевым шарам на других рабочих станциях подразделения они не смогут, но и зато запустить туда трояна удаленно, пользуясь админскими правами - тоже.