Olá,
Crie 2 grupos de segurança, por exemplo, "usr" e "adm". Adicione esse usuário em questão nesses 2 grupos.
Crie 2 GPO's ("adiciona_usr" e "adiciona_adm"), aplique essas gpos nas máquinas.
Lembrando que a gpo "adiciona_usr" tem que ser aplicada no servidor que você quer que o usuário faça logon como usuário comum. E a gpo "adiciona_adm" nas máquinas que você quer que o usuário faça logon como administrador.
Configure as gpo's da seguinte maneira, em: Computer Configuration-->Polices-->Windows Settings-->Security Settings-->Restricted Groups.
Com o botão direto adicione um grupo, edite ele e inclua um dos 2 grupos que você criou anteriormente (USR ou ADM).
Faça a mesma coisa com a outra GPO.
Deste modo você consegue que o usuário faça logon com papeis (permissões) diferentes em cada máquina, só depende de qual GPO essa máquina irá processar.