Подскажите есть ли способ найти в локальной сети построенной на основе домена компьютеры на которых в группе локальных администраторов кроме непосредственно Администратора и Администратороа домена присутствуют другие учетные записи? То есть определить не обладает ли пользователь административными првами?

Тебе нужно именно найти или просто лишить всех пользователей кроме "Администратора" и "Администраторов домена" административных привилегий?

Если именно лишить, то в доменных групповых политиках есть специально для этого предназначенный раздел, в котором ты можешь задать какие пользователи и группы будут иметь локальные привилегии на рабочих станциях. Все остальные, ранее обладающие такими привилегиями, после применения групповых политик будут исключены из групп согласно твоей настройке.

У меня приблизительно такая-же проблема, это сделал, исключает,
но дополнительно хотелось бы иметь аудит создания пользователей на всех машинах, чтобы все события создания пользователей и изменения прав, или их попытки выводились на консоль админу. Есть ли специализированная утила, которая за этим следит?
Это с целью чтобы по шее надавать :)

Success
вариант CMD-скрипта (с учетом наличия станций с локализацией и без):@echo off
SET EXCL0=MYDOMAIN\\Domain Admins$

SET GROUP=Администраторы
SET EXCL1=Администратор$
SET EXCL2=Команда выполнена успешно.

for /f "skip=6 tokens=* delims=" %%i in ('net localgroup %GROUP%^|findstr /BRIVC:"%EXCL0%" /C:"%EXCL1%" /C:"%EXCL2%"') do echo %%i

SET GROUP=Administrators
SET EXCL1=Administrator$
SET EXCL2=The command completed successfully.

for /f "skip=6 tokens=* delims=" %%i in ('net localgroup %GROUP%^|findstr /BRIVC:"%EXCL0%" /C:"%EXCL1%" /C:"%EXCL2%"') do echo %%i
З.Ы. Для подавления сообщений об ошибке при запуске батника указать "2>nul"

Бывает же такое - спрашиваю в той же теме, где сам же пару лет и отвечал. :)

Нужна отдельная программа, утилита, скрипт или ещё что-нибудь, позволяющее собрать со всех рабочих станций домена информацию об имеющихся на них локальных пользователях, а также информацию о локальных группах пользователей, т.е. обо всех учётных записях (как локальных, так и доменных), входящих в них (т.е. Администраторы, Гости, Операторы архива, Операторы настройки сети, Опытные пользователи, Пользователи и т.п.). Пару лет назад сталкивался с подобным и даже находил подобное решение, но сейчас хоть убей не помню его. :(

P.S. Лазить по каждой рабочей станцией и вручную просматривать группы пользователей не предлагать, т.к. машин в сети больше 300.