Как обезопасить ферму серверов удаленных приложений, чтобы запретить пользователям запускать неопубликованные приложения?

Недавно мы развернули и протестировали рабочую конфигурацию RemoteApps на основе служб хоста сеансов удаленных рабочих столов и шлюза удаленных рабочих столов MS Windows Server 2012R2, которая позволяет определенным пользователям запускать определенные приложения в ферме серверов, хранить свои данные как локально, так и на ферма серверов в общем (на уровне фермы) сетевом ресурсе в качестве перемещаемого профиля, но наткнулся на проблему: например, если у пользователя есть права только на запуск Microsoft Word, он может довольно легко запустить командную строку (как он сам конечно), перемещаясь по дереву файловой системы в меню File-Open, он может запустить приложение, которое не было опубликовано для него, с RDS в целом (без прав через RDS Web Access). Мы хотим, чтобы пользователи не могли этого сделать, при этом позволяя просматривать хотя бы свой собственный (роуминг) профиль и подключенные удаленные диски. Что мы должны сделать, чтобы гарантировать, что пользователь может выполнять только то, на что он имеет право, и не запускать ничего другого, если только он не опубликован через веб-доступ к удаленному рабочему столу?