Применение объекта групповой политики к локальным пользователям, кроме локальных администраторов, на компьютерах рабочих групп

У меня есть набор конфигураций, которые мне нужно реплицировать с компьютеров, присоединенных к домену, на компьютеры, не принадлежащие к домену (рабочая группа). Я создал GPO, включил Loopback-обработку и импортировал их через LGPO.exe (Microsoft Security Compliance Toolkit). Одна из конфигураций включает политики ограниченного использования программ. Я хочу ограничить доступ обычных пользователей к определенным расширениям файлов, тогда как администраторы должны иметь полный доступ. На уровне домена он отлично работает, когда я применяю фильтрацию безопасности для администраторов домена. Но на уровне рабочей группы это не так. Политика применяется ко всем пользователям, включая локальных администраторов.

Я хочу убедиться, что политики конфигурации пользователей влияют только на локальных пользователей.

Если я применю фильтр WMI, чтобы исключить встроенную группу локальных администраторов, он будет работать?

Пожалуйста посоветуй. Заранее спасибо.