A Área de Trabalho Remota requer várias coisas para funcionar. Você mencionou alguns, mas há outros.
- Comunicações: a porta 3389 deve estar aberta e disponível entre o cliente e o servidor (host RDP). Isso significa firewalls tradicionais e regras de firewall do Windows.
- Políticas: as políticas locais e de GPO precisam ser definidas para permitir acesso remoto. O fato de você poder se conectar com uma conta local significa que o acesso é geralmente permitido (as políticas não podem qual conta você usa para se conectar).
- Usuários "Permitidos": Por padrão, os administradores locais (e os usuários de domínio com direitos de administrador locais) podem se conectar via RDP. No entanto, você também pode adicionar outros usuários não administradores.
Com base na sua descrição, eu diria que o # 3 é o culpado. Sua nova conta de domínio Z não possui o direito "Logon remotamente". Isso pode ser atribuído por meio do GPO ou da política local. Consulte aqui para obter mais informações.