「アカウントの権限について」の一件で忘れていたのを思い出したので。
DC(Domain Controler) では 「ローカル セキュリティ ポリシー」(secpol.msc) は編集できません。
DC に対する "セキュリティ ポリシー" を編集するには、「ドメイン コントローラ セキュリティ ポリシー」で編集します。
# 正確には、「ドメイン コントローラ セキュリティ ポリシー」を編集するということはすなわち
# "Default Domain Controler Policy" の一部分を編集することになります。
で、忘れていたのはここから。
Windows Server 2003 以降では Remote Desktop で接続する場合には別の権利「ターミナル サービスを使ったログオンを許可する」が必要になっていて、DC の default ではこれは "Administrators" しか認められていないんです。
# MMC で「ポリシーの結果セット」(RSOP) を利用してやると結果がわかります。
ということで、"Administrators" に所属していない user で DC に Remote Desktop 接続する場合には、「ターミナル サービスを使ったログオンを許可する」に対象の user を追加する必要があります。