うちの会社では、ローカルのAdministratorsにInteractive入れてますね。
これがよいのかどうかはわからないけど、今のところそれでうまくいってます。

コメント（1）と同じくローカルのAdministratorsのグループを活用しています。
セキュリティの度合いに合わせて、このグループに下記ユーザーを追加します。
・DomainUsers … ドメインアカウントユーザーであればだれでも何でもできる。
・（PC所持者のドメインアカウント） … PC所持者のみ 何でもできる
・（管理用アカウント） … 情シスなどPC管理者が利用するアカウント。PC管理者のみ何でもできる。ユーザーはインストールごとに都度申請して インストール時などPCの利用ができなくなる。
といったところでしょうか。

ちなみにユーザーにDomain Admins権限を付けるのはものすごく危険です。
ドメインに参加するすべてのPCやサーバに対してのすべての権限が与えられます。

ウチではパソコンのインストール、セッチングが自分でやらせていますので、みんな管理者権限での運用です。
（まぁそのパソコンがどうなろうと、それは個人の責任でしょというわけで．．．）
サーバは管理用のアカウントとユーザのアカウントは別にしてます。情シス員が自分のアカウントで入っても一般人と同じことしかやれません。サーバの設定やフォルダを作る・アクセス権をつける等は管理者用のアカウントでしか出来ません。

AD上に権限付与用のOUを作成し、そこに対象のコンピュータアカウントを入れると、グループポリシーでDomainUsersグループをローカルのAdministratorsグループに登録するように設定しています。
権限の解除は、通常運用のOUに戻すと、Administratorsグループから、
Domain usersを削除するように設定しています。