Tak odzkoušeno a kupodivu nefunguje. Uživatelský účet dostal na okamžik práva doménového admina. Přestože admin může, uživatel nemůže

Edit: ... ale funguje. Musel jsem nejprve odebrat členství ve všech ostatních skupinách (zejména Domain users). Pak postup zabral. Stejně by mě ale zajímalo, odkud se tahle politika bere.
Každopádně díky za radu.
Jack