Não há granularidade no sistema de controle de acesso para fazer o que você está procurando de uma maneira que seria facilmente configurável.
A permissão para executar o "Remote Control" é concedida com base nas permissões definidas no objeto "RDP Listener". Você poderia criar um Ouvinte RDP com permissões como você descreve (permitindo "Controle Remoto" para determinados grupos), mas, até onde eu saiba, você precisaria ter um NIC por ouvinte que você cria (porque vários ouvintes não podem ser ligados para o mesmo NIC). Talvez seja possível ter vários ouvintes na mesma NIC em execução em diferentes números de portas TCP. Não estou vendo uma maneira na interface do usuário padrão para fazer isso.