1. Создать локальную группу TerminalAdmins и добавить в неё пользователей
2. На диске С создать каталог AdminTools и разместить в нём скрипт NoRDP.cmd
   Содержание скрипта:

@echo OFF
net localgroup TerminalAdmins | find /i "%username%"
if %ERRORLEVEL% == 0 goto admin
logoff.exe
exit
:admin
start /B explorer.exe
exit

3. В gpedit.msc изменить групповую политику:
   User Configuration -> Administrative Templates -> Windows Components -> Terminal Services -> Policy
   Start a program on connection = Enabled
   Program path and file name = C:\AdminTools\NoRDP.cmd
4. Выполнить в CMD от имени Администратора: gpupdate /force
   Либо перезагрузить сервер.

Теперь при подключении пользователя по RDP скрипт проверит, входит ли пользователь в группу TerminalAdmins.
Если пользователь в группу не входит, он будет сразу же разлогинен.