VD>Но неужели для этого нет готовой функции?

Хм, можно у токена проверить TokenElevationType через GetTokenInformation, и если он не elevated, то вытащить linkedToken (через GetTokenInformation с параметром TokenLinkedToken).
И вот на этом токене уже проверять IsInRole. В теории должно сработать без доп. привилегий (SeTcbPrivilege, см. https://stackoverflow.com/a/39403260/23213344)

Но мне кажется, UserClaims проверить проще будет.