1. Создать локальную группу TerminalAdmins и добавить в неё пользователей
2. На диске С создать каталог AdminTools и разместить в нём скрипт NoRDP.cmd
Содержание скрипта:
@echo OFF
net localgroup TerminalAdmins | find /i "%username%"
if %ERRORLEVEL% == 0 goto admin
logoff.exe
exit
:admin
start /B explorer.exe
exit
3. В gpedit.msc изменить групповую политику:
User Configuration -> Administrative Templates -> Windows Components -> Terminal Services -> Policy
Start a program on connection = Enabled
Program path and file name = C:\AdminTools\NoRDP.cmd
4. Выполнить в CMD от имени Администратора: gpupdate /force
Либо перезагрузить сервер.
Теперь при подключении пользователя по RDP скрипт проверит, входит ли пользователь в группу TerminalAdmins.
Если пользователь в группу не входит, он будет сразу же разлогинен.