Windows nutzt ein Access Token, das bei der Anmeldung generiert wird. Dort stehen die SIDs aller Gruppen drin, in denen der User bei Anmeldung Mitglied war. Nur dieses Token entscheidet über die tatsächlichen Berechtigungen. Du kannst es z.B. mit whoami.exe auswerten, siehe dazu auch den Artikel über lokale Administratoren und den über Gruppenmitgliedschaften.
Dass eine Änderung von Gruppenmitgliedschaften zunächst scheinbar keinen Effekt hat, liegt in aller Regel daran, dass der betreffende Benutzer noch sein altes Access Token mit den alten Mitgliedschaften nutzt. Er muss sich neu anmelden, damit die geänderten Mitgliedschaften auch wirksam werden. Das übersehen selbst gestandene Windows-Profis gerne, also bei Berechtigungsproblemen: Immer einmal neu anmelden.
http://faq-o-matic.net/?p=541