普通域账户登陆到域控制器PDCe终端服务|将domain user域账户加入domain admins是非常危险的！我将一个帐号同时也仅加入了domain users和remote disktop user组(是pdc机,且限制了这个帐户只能在这台pdc上登录.),但我在远程桌面中使用该帐号登录pdc时,提示:要登录到这台远程计算机,你必须被授予允许通过终端服务登录的权限,默认地,"远程桌面用户"组的成员拥有该权限.……总之就是这个帐号没有远程登录的权限。是不是我还把这个帐号加入到其他的用户组中，还是domain users根本就不能使用远程桌面登录到pdc上？？已在域控制器安全策略中的允许本地登录中加入这个帐户，还是不行。

回答：Domain users和remote desktop user组的成员是没有权限登录到域控制器上的，这是为了域控制器的安全考虑所设计的。您可以将需要远程登录的域帐号加入到domain admins组中，才可以使用远程桌面登录到域控制器上，但是这样可能会对域控制器造成一定的安全隐患。具体的操作步骤如下：

1. 使用域管理员帐号登录DC上，打开“Active Directory用户和计算机”。
2. 右键点击需要设置的域帐号——“属性”——“隶属于”，添加到domain admins组中。
3. 在客户端上使用域帐号登录，再使用远程桌面登录到PDC上。

Tom Zhang 张一平 在线技术支持工程师 微软全球技术支持中心

我这里要说一点，上面的作法非常不妥当，无论出于什么目的，都不能将域普通用户账户加入domain admins，这样做就等于将域控制器以及整个域的安危交与他人之手，除非您不想干了，千万不要这么做！！！

这个问题的解决方法请参考
普通账户在管理员模式下登陆终端服务

相关的文章请参考
终端服务器限制用户账户登录|20002003terminalserviceserver
终端服务服务器性能评估优化计算问题terminal server performance 活动 ...
无法访问终端服务器上的应用程序|ProcessMonitor进行跟踪排查活动目录 ...
终端服务服务器性能评估优化计算问题terminal server performance的 ...
在Terminal server上Terminal service是什么|到底能用多久活动目录 ...
http://www.googlesyndicatedsearch.com/u/blogbus?q=site:gnaw0725.blogbus.com+%E7%BB%88%E7%AB%AF%E6%9C%8D%E5%8A%A1%E5%99%A8&hl=zh-CN&inlang=zh-CN&newwindow=1&ie=UTF-8&start=0&sa=N
－－－gnaw0725