Понадобилось сделать сабж. NT AUTHORITY\Local account and member of Administrators group мне не подходит, т.к. некоторым локальным админам доступ по сети всё же нужен.
Придумалось два костыля:
1) Добавлять локального администратора скриптом через LGPO в локальные политики.
2) Прописать SeDenyNetworkLogonRight = Administrator,Администратор руками в ( Read more... )