Смотрите в сторону таргетирования или фильтром WMI или применяйте не на пользователей, а на ПК. Сделайте группу ПК и добавьте туда рабочие станции без РДП серверов.
А в чем проблема?
В дефолтном клиенте от MS для RDP под macos есть галочки при создании RDP подключения.
Не работает чтоли или вы просто не пытались даже?
Если в домене не поднят AD CS, где нужно будет сделать запрос и выдать новый сертификат серверу, то обычно это делается на локальном IIS через раздел "сертификаты".
На диск С у обычного юзера прав быть не должно по идее. Можно сделать польщователю "перемещаемый" профиль и разместить его на сервере с поднятой ролью "файловый сервер", где можно указать квоту на папку.