Die Rechte gehen ihm dann verloren.
Allerdings macht es keinen Sinn, einen Administrator in die Gruppe "Praktikaten" zu stecken
Es macht auch keinen Sinn, administrative Aufgaben bei den Praktikaten auf Deny zu stellen. Es gibt wie gesagt auch noch das Recht "NULL / Unbekannt / Unbelegt".

Hat ein Benutzer das Recht in keiner seiner Gruppen und auch in der eigenen Rechteverwaltung nicht, dann hat er diese Berechtigung tatsächlich nicht... (Die Berechtigung steht in allen Gruppen auf NULL)
Wenn in irgendeiner Gruppe ein DENY auftaucht, hat der Benutzer ebenfalls keine Berechtigung auf die Funktion, obwohl diese eventuell in einer anderen Gruppe erlaubt ist.
Wenn die Berechtigung in allen anderen Gruppen auf NULL steht, außer in einer (oder mehreren) auf ALLOW, dann hat er die Berechtigung.

Unsere Standardkonfiguration:
Alle Benutzeraufgaben stehen in der Gruppe "Benutzer" auf ALLOW.
Alle Administrativen Aufgaben stehen in der Gruppe "Administrator" auf ALLOW
Die Gruppen Praktikaten, Gast, Auszubildende usw. sind entsprechend mit DENY eingeschränkt

Der Administrator ist in den Gruppen "Benutzer" und "Administratoren"

Trotzdem gibt es noch die Möglichkeit, einzelnen Benutzern bestimmte Rechte wegzunehmen. Oder einem nicht-Administrator eine administrative Aufgabe zuzuteilen...


edit: Natürlich sichern wir uns aber auch entsprechend ab Es gibt immer ein Administrator-Account, der vollzugriff hat. Sonst ständen wir wohl beim Support das eine oder andere Mal doof da