Pokud jde jen o zatrhnutí, použil bych prostě už připravenou funkci v GPO. Samozřejmě to neřeší evidenci takových individuí.

Jinak PS script, narychlo spichnuty bez osetreni chyb (aspon jako voditko):

import-module activedirectory
get-adcomputer -filter * | Select -Expand Name | Get-CimInstance -ClassName win32_group -Filter "name = 'administrators'" | Get-CimAssociatedInstance -Association win32_groupuser