[nokogerra]

Выглядит ситуация слегка странно.
Для учетной записи, у которой наблюдался артефакт с административными правами, логофф выполнялся не раз, но административные права пропали только сегодня (при чем, например cmd до сих пор можно запустить "от имени администратора" и получить "C:\Windows\system32>", однако, например, маршрут теперь добавить/удалить нельзя, но это, скорее, "поведение" 8.1). У других учетных записей-членов группы "администраторы домена"административных прав не было.
Не скажу что было вчера, но сегодня whoami говорит об этой сомнительной учетной записи то, что помимо доменных групп, она является членом группы BUILTIN\Пользователи, что ожидаемо, net localgroup "Администраторы" показывает, как я и говорил, две локальные учетные записи и одну доменную (отличную от проблемной). Похоже, проблема действительно было с членством этой учетной записи в локальной группе "Администраторы", но интересно то, что настройки BUILTIN\Администраторы были изменены несколько месяцев назад и с тех пор не модифицировались. Возможно, есть шанс, что крб тикеты для этой учетной записи не обновлялись долго-долго? Как бы там ни было, решено.