Attribut „adminCount“ im AD is halt 1, dann wird das gelöscht, also:
Die Benutzer oder deren Gruppen dürfen nicht Mitglied in folgenden Gruppen sein:
Enterprise Admins
Administratoren
Domänen-Admins
Schema-Admins
Organisations-Admins
Konten-Operatoren
Server-Operatoren
Druck-Operatoren
Sicherungs-Operatoren
Cert Publishers
entfernen und dann das Attribut „adminCount“ des betroffenen Benutzers auf 0 oder „Nicht festgelegt“ setzen.
Check mit der Power Shell:
([adsisearcher]"(AdminCount=1)").findall()