AWS Directory ServiceのMicrosoft ADといわれるサービス。

Directory Serviceからウィザードで簡単にADが作成できる。

そして作成されたADのIPアドレスを、ドメイン参加したいWindows ServerのDNSに設定してあげて、作成したADに参加しようとすれば、すぐにできる。

参加時に使うユーザーはAdministrator ユーザーではなくAdminユーザーだ。

ここまではよかった。

ドメインユーザーでそのWindows Serverにログオンしようとしたら『このユーザーはリモートデスクトップでのログオン権限がありません』的なメッセージが。

Microsoft ADにWindows ServerのADのツール（Active Directory Users and Computers）を使って新しいユーザーを作るなりすればいいのかと思って、

ADを見ようとしたら、『ドメインユーザーでログオンしてから実行してください』的なメッセージが。

くそーーーー。

マニュアルにも書いてないし悩んでいたら

フォーラムに同じ質問が！

https://forums.aws.amazon.com/thread.jspa?messageID=710586&#710586

単純にドメインのAdminユーザーに

『ローカルグループポリシー（gpedit.msc）から、コンピューターの構成 - Windowsの設定 - セキュリティの設定 - ローカルポリシー - ユーザー権利の割り当て - リモートデスクトップサービスを使ったログオンを許可』

『システムのプロパティから、リモートタブでリモートデスクトップの許可』

からAdminユーザーを追加してあげないといけなかった。

なんだ、仕事でほぼ毎日やってる作業じゃないか。。。

Adminユーザーでログオンできたので、これで自由だ！