Ne može se to izvesti nikako. Nema to nikakvog smisla. Ako mu je snimljen Run As login/password (a nije i nemože biti), tada može pokrenuti bilo što na kompjuteru pod admin ovlastima a onda mu možeš i dati ovlasti.
Što se tiće drugog pitanja, pretpostavljam da misliš na Trust for Delegation u AD-u. To nema veze sa ovime što ti pričaš. Ovdje se radi o Kerberos autentifikaciji ticketom i njegovim boundarisima, SPN-ovima itd...