Как использовать групповую политику для управления доступом локального администрирования (ТОЛЬКО ЛОКАЛЬНО)

В компании, в которой я работаю, около 75 пользователей компьютеров. У нас есть контроллер домена Microsoft в нашей серверной среде (MS Server 2012) с Active Directory.

Когда пользователям необходимо установить программное обеспечение, в Windows им предлагается ввести имя пользователя и пароль администратора. Это означает, что им нужно позвонить мне, и я могу удаленно войти на их компьютер (с помощью TeamViewer), а затем ввести свои учетные данные, чтобы установить программное обеспечение.

Я не хочу продолжать контролировать, что пользователи могут устанавливать, однако, чтобы упростить задачу, я хочу иметь группу безопасности в AD, где я могу временно добавить пользователя, чтобы предоставить им административный доступ. Этот доступ должен быть только локальным. Доступ RDP к нашим серверам запрещен!

Я нашел в Интернете несколько примеров, объясняющих, как это сделать, и выполнил инструкции. (Извините, у меня больше нет ссылок на эти сайты). В основном то, что я сделал, ниже:

Я создал свою группу в Active Directory с пользователем, добавленным для тестирования «Temp Login».

... и я создал объект групповой политики, и я добавил свою группу в «ограниченные пользователи».

При запросе членства я добавляю "Администраторы"

Хорошо, этот метод работает почти так, как я хочу. Я могу войти в ноутбук с помощью TLogin (учетная запись Temp Login, добавленная ранее для целей тестирования). И я могу без проблем установить программное обеспечение. Однако есть только одна проблема.

У меня все еще есть ПОЛНЫЙ доступ, чтобы использовать RDP для доступа к серверам!

Как я могу изменить свой метод, чтобы разрешить только ЛОКАЛЬНЫЙ доступ?