Vielen Dank an alle, die sich um die Lösung bemüht haben.
<zerknirscht> Leider hab ich genau das gemacht: die nervige UAC abgeschaltet</zerknirscht aus>
Finde ich auch bei Linux besser gelöst.
Admin-Passwort erfragen - korrekte Rechte einräumen.
Aber egal. Die 2 Links waren goldrichtig und ich werde genau das nun machen: Eine eigene Gruppe einrichten.
Ist nur umständlich: Bei der Aufnahme in die Domäne wird man ja gefragt, ob man die Domänen-Admins in die lokalen Administratoren aufnehmen will - und denkt, bei "Ja" hätte man alles Nötige gemacht... Und dann kann ich als solcher Domänenadmin nicht einmal einen Ordner anschauen :-(
Unklar bleibt weiterhin, wieso es dann remote wie gedacht funktioniert (alle haben Vollzugriff, das Nähere regeln - diesmal korrekt - die ntfs-Rechte...)
Und etwas Weiteres ist nicht durchdacht: Für einen normalen PC ist dies Konzept sehr sinnvoll (niemand arbeitet bei uns normalerweise als Administrator bzw. mit dessen Rechten).
An einem Server jedoch hat niemand etwas auf der Oberfläche (egal ob lokal oder per RDP angemeldet) zu suchen. Und wer sich dort interaktiv anmeldet, hat ausschließlich administrative Aufgaben zu erledigen, die tatsächliche Administratorrechte erfordern. Insofern ist UAC auf einem Server kontraproduktiv...