Какими способами можно вызвать обновление маркера доступа для учетных записей администраторов на рабочих станциях?

Этот сценарий возник при изменении членства в доменной группе, которая предоставляет членство в BUILTIN\Administrators. В частности, членство в группе для администратора не обновлялось на рабочей станции, пока администратор не вошел в систему как обычный пользователь. Вот сценарий, который вызвал этот вопрос:

Запуск установки:

• Доменная группа WSAdminGroup1 с членом
  • admin1
• Workstation ws1:
  • WSAdminGroup1 является членом BUILTIN\Administrators
  • user1 является членом BUILTIN\Users
• когда user1 сталкивается с запросом UAC, admin1 может разрешить повышение

Изменения:

• Добавить доменную группу WSAdminGroup2 с членом
  • admin2
• Add WSAdminGroup2 to BUILTIN\Administrators

Result:

• когда пользователь1 сталкивается с приглашением UAC, admin2 не может авторизовать повышение

Итак, у нас есть администратор admin2, который должен иметь членство в BUILTIN\Administrators на рабочей станции ws1 посредством членства в доменной группе WSAdminGroup2, но не может авторизовать приглашения UAC на ws1.

Никакое количество ожиданий, перезагрузок или выходов user1 не помогло admin2 получить доступ администратора на рабочей станции. Оказалось, что вход на рабочий стол рабочей станции под именем admin2 в конечном итоге привел к тому, что admin2 получил доступ администратора.

Это говорит о том, что маркер доступа администратора admin2 не был обновлен на рабочей станции ws1, пока admin2 не вошел на рабочий стол. Но я пока не нашел документации, которая согласна с этим выводом.

В любом случае, я хотел бы разобраться в следующих вопросах:

1. Что на самом деле произошло с маркерами доступа администратора admin2, когда разыгрался этот сценарий?
2. Для идентификаторов (например, администраторов), которые не регулярно входят в рабочий стол рабочей станции, есть ли другой способ инициировать выдачу нового маркера доступа, который бы отражал более актуальное членство в группе?
3. Приводят ли какие-либо способы авторизации, не связанные с входом на рабочий стол (например, PowerShell remoting или вызов "Run as administrator"), к выпуску нового маркера доступа?