Muito grato aos comentários de todos, mas eis a resposta:
Existe uma configuração de registro
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system\LocalAccountTokenFilterPolicy
O que impacta isso.
Se eu definir essa entrada do registro como 1, tudo funcionará como esperado - os usuários do grupo Admin podem acessar remotamente de forma adequada.
Não está claro para mim se isso está além de qualquer configuração de UAC (ou seja, essas configurações de UAC locais nunca afetam o acesso remoto) ou se minha desativação do UAC é de alguma forma inadequada. (Desativei-o usando a interface do usuário do Windows - minhas configurações estão de acordo com a captura de tela da pergunta original).