watanabeさんこんにちは。
ソフトウェア制限から引き続きとなってしまい恐縮ですが、よければ私の経験したことのある運用を。。。

＜基本方針＞
　・Windowsドメイン環境
　・キッティングは全て情シス側で実施
　・全PC共通でローカル管理者を作成するが、知っているのは情シスのみでメンテナンス時のみ使用
　・一般のドメインユーザーにPCの管理者権限は与えない

＜運用しての課題＞
　・ソフトウェアのインストールやアップグレード時に管理者権限を求められる場合、情シスの助けが必要
　　→インストールは基本禁止なのでいいですが、アップグレードはこちらも推奨してるので地味に対応が大変

　・障害切り分け時に管理者権限がないので見れない情報がある
　　→これは情シス側がひと手間かけるだけなのですが、意外とめんどくさがる人が・・・

個人的にはPC設定の標準化、セキュリティの担保という意味では一般ユーザーの管理者権限ははく奪しちゃっていいのではないかと思っています。
使い勝手とセキュリティはトレードオフなので、バランスが難しいところではありますけども。。。

ちなみにPCのドメイン参加ですが、初期ポリシーのままなら通常のドメインユーザーでもPCをドメイン参加させることが可能だったはずです。（上限回数がありますが、変更も可能）

また管理者権限持ってなくても事前に登録されたアプリケーションならユーザー側でインストールできるようにする管理ソフトもあるようです。（ivantiの資産管理ソフトとか）
私も使ったことはないですが、予算が許すのであれば検討してみたいと思っています。

参考になれば幸いです。

＞easyrider様

度々のご回答有難うございます。

＞使い勝手とセキュリティはトレードオフなので、バランスが難しいところではありますけども。。。
確かに仰る通りですよね。別件でオンラインストレージも検討しないといけないのですが、まさしく上記が当てはまる案件なのかと。

頂いた情報を参考に課題に対しての対応策を検討していきたいと思います。

パソコンの権限管理については、各社でいろいろな考えがあるものです

ガチガチに制限してしまう　というのもありますし　ユルユルのところもあります

ウチはユルユルです　理由は　開発・設計・実験を行う者が多くてガチガチにしてしまうと、ツールのインストールでいちいち許可が必要、では煩雑になることです。”情シスだけがインストールできる”では情シス員はしょっちゅう走り回ることになるでしょう。なのでそんなことはせずにユルユルになっています。ただし年一回、ソフト調査がありますので、禁止や得体のしれないものを入れていると対処されます。ユーザはアドミニ権限です。”みんな自分でやれ”です。

系列会社の中には”防衛軍からの受注”があるところがあり、ここはガチガチのガチガチです。パソコンは統一仕様、必要以外は一切インストール禁止です。

ということで自社の要求度合いにあった運用をすればいいでしょうね。