普通域账户登陆到域控制器PDCe终端服务|将domain user域账户加入domain admins是非常危险的！

普通域账户登陆到域控制器PDCe终端服务|将domain user域账户加入domain admins是非常危险的！我将一个帐号同时也仅加入了domain users和remote disktop user组(是pdc机,且限制了这个帐户只能在这台pdc上登录.),但我在远程桌面中使用该帐号登录pdc时,提示:要登录到这台远程计算机,你必须被授予允许通过终端服务登录的权限,默认地,"远程桌面用户"组的成员拥有该权限.……总之就是这个帐号没有远程登录的权限。是不是我还把这个帐号加入到其他的用户组中，还是domain users根本就不能使用远程桌面登录到pdc上？？已在域控制器安全策略中的允许本地登录中加入这个帐户，还是不行。

回答：Domain users和remote desktop user组的成员是没有权限登录到域控制器上的，这是为了域控制器的安全考虑所设计的。您可以将需要远程登录的域帐号加入到domain admins组中，才可以使用远程桌面登录到域控制器上，但是这样可能会对域控制器造成一定的安全隐患。具体的操作步骤如下：

1. 使用域管理员帐号登录DC上，打开“Active Directory用户和计算机”。
2. 右键点击需要设置的域帐号——“属性”——“隶属于”，添加到domain admins组中。
3. 在客户端上使用域帐号登录，再使用远程桌面登录到PDC上。

Tom Zhang 张一平在线技术支持工程师微软全球技术支持中心

我这里要说一点，上面的作法非常不妥当，无论出于什么目的，都不能将域普通用户账户加入domain admins，这样做就等于将域控制器以及整个域的安危交与他人之手，除非您不想干了，千万不要这么做！！！

这个问题的解决方法请参考
普通账户在管理员模式下登陆终端服务