職場でActive Directoryの設定を任されましたが
知識と経験が乏しく苦戦しています。

どなたか詳しい方ご助言いただきたいです。

実現したいこと

ADドメインに存在しているユーザーを使い、
DCまたはメンバーサーバーにリモートデスクトップ接続をした際の
所属グループの正しい設定（又はそれ以外のポリシー権限等？）と、
エラーメッセージについて理解したい。

構成・前提

Windows Server 2019 でActive Directoryを使って以下の構成を作りました。
また、何れもサーバーもFWのリモートデスクトップ接続は制限されない設定となっています。

・AD/DNSサーバ(DC)#1
・AD/DNSサーバ(DC)#2
・メンバーサーバー#1
・メンバーサーバー#2

状況として

■■ADドメインに存在しているユーザーからリモートデスクトップ接続した際の、
ログイン先とログインユーザー、またその際のエラーの文言は以下にまとめました。

セキュリティポリシーの
「リモートデスクトップサービスを使ったログオンを許可」はデフォルト値から
設定変更はしていません。

特に知りたいのは以下の2点です

①ユーザーBがメンバーサーバーにリモートデスクトップ接続した際に「※1」のエラーとなること。
→ユーザーBはAdministratorsグループ、Remote Desktop Usersグループ共に所属してるのでログイン出来るのではと思っています。

②「※1」のエラーの文言は、「リモートデスクトップサービスを使ったログオンを許可」の
設定でグループやユーザーとして許可すれば良さそうだと解釈しています。
ただ、「リモートデスクトップサービスを使ったログオンを許可」の説明タブを確認したところ規定値として以下が設定と記載されています。
・ワークステーションとサーバ：Administrators,Remote Desktop Users
・ドメインコントローラー：Administrators
この事からRemote Desktop Users に所属しているユーザーCはメンバーサーバーにリモートデスクトップ接続出来そうですが、実際は「※1」エラーとなった理由。

分りにくい質問かもしれませんが、詳しい方いらっしゃいましたら
ご回答いただけると大変有り難いです。
宜しくお願いします。