Membros de grupos internos locais (assim como grupos de domínio) têm quaisquer direitos atribuídos ao grupo. Os direitos padrão em um servidor para grupos internos locais são definidos nas configurações de segurança locais. Para acessar as configurações de segurança locais, clique em Iniciar, digite secpol.msc e pressione enter. No editor de Diretiva de Segurança Local, expanda Diretivas Locais e clique em Atribuição de Direitos do Usuário. Lá você verá quais grupos / usuários recebem os direitos.
As configurações locais de atribuição de direitos do usuário podem ser substituídas pela política de grupo de domínio. Se você criar uma política de grupo de domínios que conceda a certos grupos / usuários um certo direito, como "Fazer logon como um trabalho em lotes", isso substituirá a política local para a qual os usuários têm esse direito.
Do que você escreveu, aqui está o que eu acho que aconteceu: Você tinha um GPO no seu domínio que concedia a determinados usuários os direitos que você mencionou. Esta política não concedeu esses direitos ao grupo Operadores de Backup da máquina local. Essa política substituiu a política padrão no servidor. Portanto, adicionar o usuário ao grupo Operadores de backup não concedeu esses direitos porque, devido ao GPO de domínio, os operadores de backup não os têm.
Sobre se a solução do fornecedor é ou não uma boa ideia: Descobri que geralmente é mais fácil gerenciar direitos usando grupos bem organizados em vez de concedê-los a contas individuais. Dessa forma, quando você adiciona um novo usuário, adiciona o usuário aos grupos lógicos aos quais ele pertence e ele terá imediatamente todos os direitos necessários, em vez de atribuí-lo a cada um deles. Isso é o que os grupos internos pretendiam fazer.
Em vez de conceder esses três direitos a um usuário individual, você pode ter concedido ao grupo "Operadores de backup" esses três direitos no GPO. Em seguida, adicionar o usuário a esse grupo teria o efeito desejado.
Estou curioso para saber por que você teria uma política de domínio gerenciando esses direitos em primeiro lugar. Se o objetivo era conceder a certos usuários acesso para executar operações de backup, talvez fosse melhor usar o grupo de operadores de backup interno do domínio.