В общем какая-то чертовщина творится...
Первый вариант.
Выполняю на сервере:
samba-tool user create testadmin1
Сразу же делаю:
samba-tool group addmembers 'Domain Admins' testadmin1
Затем иду на клиента с Windows 8.1, захожу в систему с другой учётной записью (ограниченной), пробую там запустить что-то с правами администратора, появляется окно UAC с запросом логина и пароля, ввожу данные учётной записи testadmin1. Приложение с правами администратора запускается, то есть всё хорошо.
Второй вариант.
Создаю пользователя:
samba-tool user create testadmin2
Затем сразу иду на клиента с Windows 8.1 и проделываю вышеописанные действия, только использую для повышения прав данные учётной записи testadmin2. Естественно повысить их у меня не получается, тогда я снова возвращаюсь на сервер и делаю:
samba-tool group addmembers 'Domain Admins' testadmin2
Возвращаюсь на клиента, перезагружаю его на всякий случай, пытаюсь повысить права за счёт testadmin2 и не могу. И вот чтобы я не пытался сделать, в какие бы группы ни пробовал добавлять пользователя, ничего не получается.
Ну и чего я совсем не ожидал.
Создал как описано выше пользователя с правами администратора и потом решил его удалить, на клиенте даже зачистил его каталог в C:\Users, но что удивительно, он до сих пор может получить права администратора! Удивительно - пользователя нет, но он беспрепятственно может запускать приложения с правами администратора! При этом DC доступен! Это как так ?!
В общем я ничего не понял...