Почему не зайти удаленно пользователю на сервер терминалов (контроллер домена по совместительству)

В случае активации ролей терминал-сервера и контроллера Active Directory на одном и том же сервере, доступ по RDP для обычных пользователей будет закрыт.

При этом пользователь получит следующую ошибку:

Чтобы выполнить вход на этот удаленный компьютер, нужно иметь разрешение на вход в систему через службу терминалов. По умолчанию, члены группы администраторов имеют такое разрешение. Если Вы не являетесь членом группы администраторов или другой группы, имеющей такое разрешение, или если группа администраторов не имеет такое разрешение, нужно добавить это разрешение в ручную

Для того, чтобы предоставить пользователям доступ по RDP на контроллер домена требуется подправить локальную политику безопасности.
Открываем следующие пункты:
Локальные политики -> Назначение прав пользователя -> Разрешить вход в систему через службу удаленных рабочих столов.
И прописываем нужные группы пользователей.

В этой же оснастке можно открыть и локальный вход на сервер для пользователей.

Я категорически не рекомендую сочетать на одном сервере эти роли, ибо таким образом вы создаёте угрозу стабильности работы домена, от работы которого зависит не только терминальный сервер, но и другие ПК.