Административные права без членства в группе.
 

Уровень леса и домена 2008, клиентская машина 8.1, в группе "Администраторы" на этой машине 2 локальных учетных записи и одна доменная, группы администраторов домена в ней нет. Член группы администраторов домена входит на эту машину и может запустить оснастку/приложение "от имени Администратора" - появляется secure desktop UAC с запросом его пароля, он набирает свой пароль и вуа-ля - административный доступ есть. Кто-то может сказать, что за странное поведение такое?
Никакие политики типа restricted groups к этой машине не применены, а даже если бы и были, то lusrmgr.msc показал бы новых членов группы "Администраторы".

Мы же знаем, что чудес не бывает :)
Что именно вы запускаете?
Покажите вывод из под доменной учетки: ну и глупый вопрос, logoff делали?

Выглядит ситуация слегка странно.
Для учетной записи, у которой наблюдался артефакт с административными правами, логофф выполнялся не раз, но административные права пропали только сегодня (при чем, например cmd до сих пор можно запустить "от имени администратора" и получить "C:\Windows\system32>", однако, например, маршрут теперь добавить/удалить нельзя, но это, скорее, "поведение" 8.1). У других учетных записей-членов группы "администраторы домена"административных прав не было.
Не скажу что было вчера, но сегодня whoami говорит об этой сомнительной учетной записи то, что помимо доменных групп, она является членом группы BUILTIN\Пользователи, что ожидаемо, net localgroup "Администраторы" показывает, как я и говорил, две локальные учетные записи и одну доменную (отличную от проблемной). Похоже, проблема действительно было с членством этой учетной записи в локальной группе "Администраторы", но интересно то, что настройки BUILTIN\Администраторы были изменены несколько месяцев назад и с тех пор не модифицировались. Возможно, есть шанс, что крб тикеты для этой учетной записи не обновлялись долго-долго? Как бы там ни было, решено.

Я бы для начала исключил влияние UAC, выключив его сразу и навсегда.