(Nome do domínio, usuário e computador deixado de fora) Sim, você está vendo isso corretamente.
Vamos fazer um experimento.
Agarre psexec da Sysinternals. Transferi-lo para o seu controlador de domínio.
Execute psexec -s -i cmd.exe no seu controlador de domínio.
Agora, no seu novo prompt de comando, digite whoami e whoami /groups . Você verá que agora é a conta SYSTEM em seu controlador de domínio (também conhecido como DC01 $) e que, de fato, você pertence ao grupo Builtin \ Administrators.
Esses grupos incorporados são compartilhados entre os controladores de domínio. Então, aqui está algo legal:
Digite start \DC02\c$ em seu prompt de comando. Ele deve iniciar o Windows Explorer em seu outro controlador de domínio porque você (DC01 $) também é um administrador desse DC também!
Os controladores de domínio não têm um SAM local da mesma maneira que os computadores Windows comuns. (Bem, eles fazem, mas é usado apenas no modo de restauração.) Todos eles compartilham os grupos do AD Builtin, e como um sistema Windows precisa ser um administrador de si mesmo para funcionar, assim como qualquer conta SYSTEM em qualquer outra máquina Windows, isso nos dá o efeito colateral interessante de que todos os controladores de domínio acabam sendo administradores um do outro.
Editar: Limpar para a posteridade.