В общем, вы можете найти лучший выбор для проверки конкретного разрешения, а не подразумевать разрешения из назначений ролей. Одна из причин этого заключается в том, что в доменной среде у вас могут быть локальные администраторы и администраторы домена. Они не обязательно эквивалентны. Кроме того, даже права администратора могут быть изменены, или могут быть «подправлены» определенные права доступа к файлам / каталогам, например, для запрета доступа к «localmachine \ administrator».
Проверка на наличие определенного разрешения гарантирует, что, учитывая определенные учетные данные пользователя, этот пользователь может или не может выполнять какие-либо действия, независимо от того, на какие роли они могут быть назначены.
Я знаю, что это не отвечает на ваш вопрос, но может помочь пролить свет на проблему получения разрешений от ролей.