Vorraussetzung für nachfolgendes Szenario ist die Installation des Terminal-Servers im Anwenderverwaltungsmodus. Der Remote-Verwaltungsmodus dient, wie Marco schon schrieb, nur der Administration des Servers bzw. Netzes und setzt Admin-Rechte voraus.
Im Gegensatz zum Remote-Verwaltungsmodus musst du beim Betreiben eines Terminal-Servers im Anwenderverwaltungs-Modus extra Lizenzen kaufen.
Hängt der Terminalserver in einer Domäne, dann am besten über Domänen- bzw. Gruppenrichtlinien, ist es ein Standalone-Server über die lokale Sicherheitsrichtlinie.
Domänen- und lokale Sicherheits-Richtlinie findest über Start => Einstellungen => Systemsteuerung => Verwaltung, die Gruppenrichtlinen wie folgt:
Auf dem PDC die MMC mit dem Snap-In Active-Directory Benutzer- und Computer starten.
Den obersten Eintrag -also deine Domäne- rechts anklicken und Eigenschaften wählen, dann auf der Registerkarte Gruppenrichtlinien die Richtlinie auswählen, die du bearbeiten willst bzw. eine neue erstellen.
Innerhalb dieser Richtlinien kannst du User so ziemlich alles verbieten bzw. erlauben, ohne das diese es ändern könnten.
Cheers,
Joshua