так.
отвечаю сам себе:

методом научного тыка на своей системе было определено, что пасс <Empty> выдается для аккаунтов, для которых пасс вообще не задан
(логично, правда?) Т.е. это "локальные" аккаунты, заходящие на машину консольно без паролей.

Остается вопрос - как на локальном аккаунте, где вообще не стоит пароль поставить специальный пароль для доступа конкретно через RDP, и как узнать такие "специально установленные" пароли для различных аккаунтов на системе.

upd.
зайти на машину без пароля удаленно не получается, т.к. в "Локальные Политики => Параметры Безопасности" (причем по умолчанию) стоит флаг
"Учетные записи: ограничить использование пустых паролей только для консольного входа" => enabled

остается вопрос, как ставить пароль на такие аккаунты специально для доступа из сети.

upd2.
на всех *ать её форумах пишут - "задайте пароль для учетной записи, если хотите доступа из сети", ну или "разрешите доступ из сети для учетных записей без паролей".
И блин ни на 1 не написано, как поставить отдельный пароль для доступа по RDP, не выставляя пасса на саму учетку.
Если бы своими глазами не видел, что это возможно - не гонял бы=\