Как можно внести исправления на контроллере домена?

Здравствуйте!

Судя по вашей ошибке, проблема, скорее всего, связана с настройками разрешений для групп пользователей на вашем контроллере домена. Так как у вас нет доступа через удаленный рабочий стол (RDP), давайте рассмотрим несколько вариантов решения проблемы.

### 1. Использование локального доступа к серверу
Если есть возможность физически или через консоль виртуальной машины зайти на контроллер домена (например, через консоль Hyper-V), вы можете войти в систему под учетной записью администратора. Это даст вам доступ к настройкам.

### 2. Проверка групповых политик (GPO)
Если у вас есть возможность зайти на контроллер, выполните следующие действия:

1. Откройте "Управление групповыми политиками" (GPMC).
2. Найдите политику, применяемую к вашему подразделению "Бух" или к OU, в котором находятся ваши пользователи.
3. Убедитесь, что в ней не запрещен доступ через RDP. Это можно сделать, проверив пункт **"Управление удаленным доступом"**.

### 3. Проверка прав на вход через RDP
Смотрите, чтобы пользователи или группы, которым нужно подключаться, имели право на доступ через RDP.

1. Откройте `secpol.msc` (Локальная политика безопасности).
2. Перейдите в **Локальные политики** -> **Назначение прав пользователей**.
3. Найдите политику **"Разрешить вход через службы удаленного рабочего стола"** и убедитесь, что группа **Администраторы** присутствует в этом списке.

Если вы не можете зайти в систему, чтобы выполнить шаги выше, то вы можете:

### 4. Использование режима восстановления
Если вы не можете подключиться через RDP и у вас нет доступа физически:

1. Перезагрузите контроллер домена.
2. При загрузке нажмите F8 (или Shift + F8) для доступа к расширенным параметрам загрузки.
3. Выберите "Режим восстановления", чтобы получить доступ к системе с минимальными правами, что может позволить вам изменить настройки.

### 5. Восстановление с помощью PowerShell
Если вам удастся получить доступ через консоль, попробуйте использовать PowerShell для изменения прав:

1. Откройте PowerShell от имени администратора.
2. Выполните команду:
   ```powershell
   Add-LocalGroupMember -Group "Remote Desktop Users" -Member "Имя вашей учетной записи"
   ```

Убедитесь, что вы заполнили "Имя вашей учетной записи" корректно.

### Заключение
Если все эти варианты не помогают или результат не соответствует ожиданиям, возможно, следует рассмотреть возможность создания нового контроллера домена или его восстановления из резервной копии (если таковая имеется). Убедитесь, что у вас есть необходимые разрешения на выполнение данных действий и доступ к учетным записям администраторов. 

Надеюсь, это поможет вам решить вашу проблему!

У тебя группа администраторы какая там стоит - локальные, или администраторы домена - это разные сущности. Проверь что пользователь под которым ты ходишь в нужной группе. 
 В общем случае достаточно в локальных групповых политиках разрешить нужным юзерам входить по RDP. 
 
 Но есть много, НО, 
 
 1. На контроллере домена другие роли и удаленный доступ по RDP строго не рекомендуется разворачивать.(Один фиг там виртуалка, раз в полгода с консоли Hyper-V зайдешь когда нужно будет) 
 2. Не нужно пыжится и делать плохое решение, ломая безопасность контроллера домена, разрешая туда доступ. 
 3. Делай две вируталки - контроллер домена(он ресурсов не жрет вообще в мелких сетях), и сервер терминалов, под которым твои юзеры будут ходить работать. 
 4. У работающих юзеров не должно быть прав администратора, ни локальных, ни доменных, да и вообще по максимуму должны быть обрезаны права.