Тогда не скажу.

Копаю дальше...
Решил посмотреть, какие группы привилегированные
Выполняю
get-adgroup -ldapfilter "(objectcategory=group) (admincount=1)"
и в результате прочего получаю
...
DistinguishedName : CN=Domain Users,CN=Users,DC=domain1,DC=ru
GroupCategory : Security
GroupScope : Global
Name : Domain Users
ObjectClass : group
ObjectGUID : 79f8eb80-4b2c-4f33-8eea-a756c4762eb8
SamAccountName : Domain Users
SID : S-1-5-21-3276496243-159508281-4038852760-513
...
Разве так должно быть?

Пока решение такое
1. Проверяем какие группы защищены AdminSDHolder
открываем PowerShell и выполняем
get-adgroup -ldapfilter "(objectcategory=group) (admincount=1)"
В результатах должны быть только следующие группы:
Account Operators,
Administrator,
Administrators,
Backup Operators,
Domain Admins,
Domain Controllers,
Enterprise Admins,
Krbgt,
Print Operators,
Read-only Domain Controllers,
Replicator,
Schema Admins,
Server Operators
2. Если Domain Users в защищенных группах, то сбрасываем admincount в ноль у группы
3. Проверяем какие пользователи защищены AdminSDHolder
В PowerShell и выполняем
get-aduser -ldapfilter "(objectcategory=person) (admincount=1)"
4. Если там есть обычные пользователи, то сбрасываем в 0 admincount у всех пользователей. Руками или скриптом.
5. Проверяем, что наследование разрешений у пользователей включено
6. Проверяем, атрибут dsHeuristics. (Выполнить adsiedit - Configuration - Services - Windows NT - Directory Service - Properties). Для вывода всех операторов из под защиты ввести 000000000100000f. У меня был <not set>.
7. Принудительно запускаем SDProp (или ждем 1 час): LDP - Bind, Browse - Modify - Edit Entry Attribute=FixUpInheritance, Values=Yes - Run