Можно ли заблокировать общие ресурсы в сеансе сервера терминалов?

Итак, у меня есть следующая проблема. Я хочу иметь очень ограниченный сервер терминалов в домене, где пользователь может войти в систему с помощью RDP и просматривать только определенные файлы (на локальном диске TS). Очень важно, чтобы пользователь не мог украсть или переместить эти файлы каким-либо образом.

Я уже удалил буфер обмена между локальным компьютером и TS, а также подключил локальные устройства, такие как USB/ принтер или локальные диски. Доступ в интернет также заблокирован. Поэтому мне остается только ограничить сеанс TS доступом к общим ресурсам в сети. Я попытался заблокировать порты 445, 135,137 и 139, чтобы достичь своей цели, но как только я это сделаю, я больше не смогу получить доступ к RDP.

Итак, мой вопрос: как мне заблокировать доступ к общим ресурсам или сети, не блокируя саму RDP-версию? Должен быть способ;)!!

Кстати. Я знаю, что мог бы просто создать нового пользователя домена только для того, чтобы подключиться к TS и не дать этому пользователю никаких прав на общие ресурсы или домен, но я не хочу иметь учетную запись с несколькими пользователями для одного пользователя. Таким образом, пользователь должен получить доступ к сеансу TS со своим обычным пользователем, которого он использует для доступа к своей локальной рабочей станции.