Dê uma olhada em Você observa que a caixa de seleção "Negar permissões de usuário para fazer logon em um host de sessão de área de trabalho remota Servidor " e siga as instruções para definir a Diretiva de Grupo de acordo para restringir o acesso à Área de Trabalho Remota.
Isso se aplica ao Windows Server 2012 R2 mesmo que o artigo não o liste, mas você pode testar facilmente para confirmar todas as obras como esperado depois com uma conta de teste.
RESOLUTION
To deny a user or a group logon via RDP, explicitly set the "Deny logon through Remote Desktop Services" privilege. To do this access a group policy editor (either local to the server or from a OU) and set this privilege:
Start | Run | Gpedit.msc if editing the local policy or chose the appropriate policy and edit it.
Computer Configuration | Windows Settings | Security Settings | Local Policies | User Rights Assignment.
Find and double click "Deny logon through Remote Desktop Services"
Add the user and / or the group that you would like to deny access.
Click ok.
Either run gpupdate /force /target:computer or wait for the next policy refresh for this setting to take effect.