> хотелось бы сделать так, что бы нельзя было подключаться по RDP к коллегам из локальной сети.
Геморно конечно.
Вижу три варианта
1) По проще, можно создать две группы ТopRDP, UserRDP. Первой группе разрешить везде заходить, второй только на определенные ПК.
2) В ограниченных учетках пользователей определить список ресурсов куда может логиниться пользователь.
3) Мой любимый, написать костыль. При логоне выполнять скрипт который будет добавлять пользователя в группу удаленного рабочего стола, соответственно пользователь сможет подключиться только к тому ПК где заходил локально.