[Swordsman]

Проблема решена.

Дело действительно было в локальных политиках и языковой разнице между именованиями в AD и в локальных профилях ОС серверов. Но проблема в том, что просто так в локальные политики DC включить разрешения для пользователей и групп, не перечисленных в AD, нельзя. Даже если запустить "Локальные политики безопасности" (secpol.msc) и попытаться внести изменения в пункт "Параметры безопасности/Локальные политики/Назначение прав пользователя/Локальный вход в систему", вводимые профили проходят проверку соответствия учётным записям AD. Поскольку локальных администраторов DC и тем более их локальных групп безопасности там нет, это бесполезно.

Однако можно пойти обходным путём. Запускаем консоль управления (mmc.exe) и залезаем в оснастку "Шаблоны безопасности". Для этого лезем "Консоль\Добавить или удалить оснастку", на закладке "Изолированная оснастка" жмём кнопку "Добавить", в списке изолированных оснасток ищем "Шаблоны безопасности" (Security Templates), жмём "Добавить" и "Закрыть", затем "ОК". Раскрываем дерево шаблонов "Шаблоны безопасности", ищем setup security, раскрываем. В "Локальные политики/Назначение прав пользователя/Локальный вход в систему", добавляем тех, кого надо (В моём случае это был "Администратор"). Смотрим, чтобы в "Отклонить локальный вход" (там же) не было тех, кого не надо. Закрываем mmc, на вопрос сохранения setup security.inf отвечаем положительно (перед этим лучше на всякий случай скопировать оригинальный файл %systemroot%\security\templates\setup security.inf в другую папку). Теперь уже запускаем secpol.msc и подгружаем изменённый шаблон локальных политик безопасности (находясь в корне оснастки, т.е. на пункте "Параметры безопасности", лезем в "Действие\Импорт политики", выбираем изменённый setup security.inf). Всё!

После этого я спокойно загрузился в режиме DSRM и вошёл под администратором.