Значит, рассказываю:
Удалил эту непонятную запись и добавил пользователя в группу "Пользователи удаленного рабочего стола" на локальной машине по совету уважаемого Petya V4sechkin и, о, чудо - есть коннект! Так действительно работает. Большое спасибо за совет!
Но если отойти от правила "работает - не трогай"
кто-нибудь может объяснить почему под админом работает без добавления в группу на локальной машине? Сейчас в группе пользователей удаленного рабочего стола только один пользователь домена и нет никаких там администраторов - так почему с учеткой админа соединяемся без проблем, а с учеткой пользователя - только если добавим его ручками в группу на локальной машине?.. Хочется это понимать, а не просто принять и жить с этим