Am einfachsten über eine GPO und eine Gruppe
d.h. ich lege hierfür immer eine Gruppe (z.B. LocalAdmin) in der Domäne an und weise diese der lokalen Administrator Gruppe auf dem Rechner über GPO zu.
Dann haben die Mitglieder der Gruppe keine Domain Admin Rechte aber lokal auf den Clients welchen diese Gruppe zugeordnet ist.
LG
Christian