Você pode estar tendo o efeito AdminSDHolder.
Contas que são membros de grupos específicos são protegidas pelo Active Directory. Isso significa que o sistema impede que eles herdem permissões do contêiner pai. Este é um recurso de segurança, destinado a proteger as contas de alto privilégio contra modificações inadvertidas.
Descrição e atualização do objeto AdminSDHolder do Active Directory
link