очем, если пользователь этим обладает, то он и так локадмин и просмотр пароля локадмина ему даром не нужен. Так, что, это, наверное будет самым правильным и простым решением.
Подозреваю, что пароль локадмина одинаковый на всех машинах или большинства , поэтому его знание даст административные полномочия на других машинах.
Если это не плановая смена паролей, а операция по смене скопроментированного пароля, использование групповой политики ненадежно, ибо политика может не применится специально или случайно.
Например, мой компьютер не ребутается по несколько месяцев, а многие ноутбуки в моей организации редко ребутаются при включенной локальной сети.
Надежнее составить список машин локальной сети и скриптом пройтись удаленно по всем.