Isto parece ser um requisito de negócio bastante bobo. Mas você não está aqui procurando por opiniões. Então, para sugestões.
O principal problema é que você está essencialmente tentando dar acesso condicional ao mesmo conjunto de usuários do Windows. Não há realmente nenhuma boa maneira de fazer o que você quer. Um usuário tem permissões para um compartilhamento de arquivo ou não. Como você disse, o uso criativo de regras de firewall impedirá o tráfego do Terminal Server para o servidor de arquivos. E, como você não deseja que os usuários usem arquivos armazenados em seu perfil de roaming, por que não apenas desativar os perfis de roaming para esse servidor também?
A outra opção que parece mais um compromisso é usar a diretiva de grupo para desabilitar todos os recursos do RDP no Terminal Server que normalmente permitiria uma fácil extração de dados (redirecionamento de unidade, redirecionamento de área de transferência, redirecionamento de impressora etc.). Isso ainda dá às pessoas acesso útil aos seus documentos de rede, mas basicamente limita os recursos de exportação de dados para as capturas de tela no lado do cliente. Contanto que os dados que você está tentando proteger não sejam facilmente analisáveis a partir de uma captura de tela, você é de ouro.
Ah, e não se esqueça de negar o acesso à Internet do Terminal Server também. Há muitos lugares na nuvem para copiar dados para os usuários que podem acessar sem direitos de administrador.