Деталей маловато.
Во-первых, как уже отметили в комментариях, терминальник - их есть у вас?
Или как вообще RDP организовываете?
Т.е. он будет на каждый сервер заходить отдельно по RDP? Просто с внешки? Или может настроены AD Federation Services?
Может Claims-provider trust и relying-party trust есть необходимость реализовать?
Или Dynamic Access Control с user claim здесь применим.
Доступ к папке - ок. С какими разрешениями?
А на каком уровне целостности работает этот "ехе"? Т.е. там же могут быть разные зависимости и требования для программы в плане разрешений на директории и прочее? И не избежать тогда повышения привилегий.
