Доменный админ не имеет прав админа на локальной машине только в одном случае - если юзер загрузился не в домен, а в локальны комп (с локальными правами). А вот запретить доступ к шарам можно и на машине, которая входит и грузится в домен (пардон за корявость терминов, но вроде все понятно). Делается это в локальной политике компьютера.
Вариант решения - провести "аудит доменных паролей", программа для русских юзеров lcp V5.04, и залогинится к юзеру на машину с его данными. Себя родного редко банять на доступ к машине
. А придумывать разные пароли/логины в домен и на локальную машину обычно народ ленится.