Сделал на Powrshell разрешение на вход через rdp только определенным пользователям с правильным IP.
Ситуация похожая, только делал для 1с7 rdp.
Так же для надежности сделал отключение учетной записи если был вход пользователя с неправильного IP, с последующим ручным включением по запросу.
Скрипт выполняется при событии входа rdp, проверяет пользователя, IP, если все совпадает, ничего не делает, если не совпадает - событие заносится в журнал(имя пользователя, IP), учетка пользователя отключается.
Логон скрипт не стал делать потому что он будет выполняться для всех пользователей, а мне надо было только для определенных.