Разрешения на доступ клиента RDC

У меня эта неприятная проблема при настройке WIN2008R2-сервера в качестве TS-сервера.
По сути, я все заработал и проверил возможность подключения клиентов RDC, которые я добавил через gpedit.
Вот проблема;
Я только хочу, чтобы клиент RDC имел доступ к своему рабочему столу на сервере, чтобы запустить приложение и редактировать файлы, размещенные на этом рабочем столе.
Тем не менее, он может просматривать все сервера, иметь доступ к сети и запускать программы, которые не требуют прав администратора!
Я использую сервер и для других целей, поэтому удаление функций не вариант...

Может ли кто-нибудь помочь мне предотвратить доступ клиента RDC только к его Remote Deskop и к приложениям / файлам, размещенным там?

РЕДАКТИРОВАТЬ:

Сервер не является сервером AD DS, а является просто автономным.

Я не планирую внедрять TS Web Access или TS Gateway; просто используйте решение VPN, чтобы клиенты (читатели) получили доступ к своему удаленному рабочему столу.

Можно ли достичь цели с помощью разрешения NTFS для группы пользователей удаленного рабочего стола?

Я попытался пройти через Управление групповой политикой, чтобы отредактировать группу удаленных пользователей, но получил сообщение, что мне нужно войти в систему с учетной записью пользователя домена? Не настроили его как DC, не установили AD.
Как я могу отредактировать группу "Удаленные пользователи", чтобы запретить им просматривать компьютер?

Мне кажется странным, что в Win Serv 2008 нет более простого способа ограничения прав пользователей для клиентов RDC...