>НО ежели пользователь хранит на своем компе КОНФИДЕНЦИАЛЬНУЮ информацию, клиент-банк например.
Варианты:
1. Машина с клиентом в домене. В любом случае админ домена имеет полный доступ + порядочно возможностей для защиты секретной информации. Например, можно шифровать секретные файлы, а агентом восстановления назначить ответственного за безопасность - админ прочитать ничего не сможет, но все меры по защите предпринять сможет.
2. Машина не в домене. Возможности по защите информации перечисляются на пальцах одной руки. Фактически, машина становиться незащищённой от юзера, прочитавшего книжку по Виндовс. Гарантирована переустановка системы каждые полгода-год с неизбежной компрометацией защищаемой информации в течение этого процесса.

Админ и действительно, зря назначил права локального админа пользователю, если конечно не заставила прога, идущая только под локальным админом...

Кроме пользователя, с точки зрения админа домена, к машине должны иметь доступ минимум следующие учётки:
1. Учётка, от имени которой (удалённо) управляется антивирус - иногда политик антивируса не хватает - ну, логи посмотреть, отсканировать при подозрениях
2. Учётка, от имени которой делаются (удалённо) резервные копии.
3. Учётка, от имени которой можно (удалённо) управлять машиной - старт/стоп сервисов, просмотр логов (для лога безопасности - нужны права админа), просмотр/правка реестра
4. Учётка для админа - используется при настройках машины, когда издалека проблемы не видно.
5. Очень неплохо иметь учётку для (удалённого) просмотра файловой системы, а лучше - и для правки.

И, конечно, полный и категорический запрет юзерам - не на словах/бумаге, а групповыми политиками - на доступ юзеров к критическим оснасткам.

Если эти требования не выполняются, то админ превращается из человека, обеспечивающего бесперебойную работу ЛВС - не проводочков, серверов и хабов, а ЛВС в комплексе - в мальчика для битья, поскольку будет лишён средств и возможностей исполнять свою работу, и будет наказан за то, что сделать и не может. Либо админ сразу отказывается (в письменной форме - если дело дошло до этого) от обслуживания машины того заадванченного юзера, кто этому противиться - пусть трахается сам, и пусть несёт ответсвенность за свой простой - тоже сам.

>Админ как минимум знает его (пользователя Twinp ) доменный пароль.
Это каким образом?

Ещё раз - секретные данные - шифруйте и назначьте ответственного за безопасность агентом восстановления.
А админу есть чем заняться кроме подглядывания за юзерами. Тем более, что стремление запретить админу доступ на машину обусловлен в 99,9% случаев стремлением скрыть игрушки и порнуху.
Порнуха - да чёрт с ней, админ в силах сделать так, чтобы юзер ничего не подцепил с неё. А вот с игрушками и установкой "левых" программулек любой админ ведёт беспощадную борьбу, и он прав - деньги за простой Вашей машины снимут с него, а не с Вас.
Моё скромное мнение - договоритесь с админом - и всё будет пучком. Толковый админ сам предложит Вам шифрование сверхсекретных данных (хотя бы для того, чтобы его не обвинили в их краже), но будет однозначно против превращения рабочей станции в испытательный полигон для миллиона "полезных" программулек и игр.
Удачи!