Вариантов два.
1. В настройках RDP на сервере найти настройку "Start the following program when the user....":
и добавить туда
Path c:\windows\system32\logoff.exe
Start in: c:\windows\system32
Это повлияет на всех пользователей сервера.
2. В настройках каждого аккаунта, которому нужно запретить вход через RDP - в свойствах аккаунта есть сценарий входа - можно сделать тоже что и в пункте 1.
Соответственно - если хотите это автоматизировать через группу - можно это сделать политиками или периодически запускаемым скриптом.