Давненько это было, могу и запамятовать, но, по-моему, я делал так: в 2000 не закрыта дырка по хэшам и он их сохраняет. Достаешь хэш админа сервера (программ - море) и runhash тебе в руки. Поднимаешь себе привилегии и сервер у твоих ног.

impersonate token

Решение пожалуйста.

Гм... Выходит, что локальный админ и доменный - суть одно и то же? Т.е. пароли совпадают? Это что же за админ там такой шибко мудрый? Нарушено главное правило безопасности и вот она - расплата.
Обратись к связке (потому что pwdump7 не умеет вытаскивать хешированные пароли из памяти)
pwdump7+gsecdump

Другой вариант:
сделай снимок системы ntdsutil
https://technet.microsoft.com/en-us/library/cc753609(WS.10).aspx
А для извлечения хэшей из скопированного таким образом ntds.dit достаточно банальногоWindows Password Recovery Tool
Весь указанный мной софт легко находится в свободном доступе.
И всё - вуа-ля!