Você obterá a grande maioria do que deseja com os usuários sendo executados com contas sem privilégios. Se você permitir que os usuários executem contas "Administrador" em sua máquina do servidor de terminal, você está pedindo que a caixa seja destruída quase que imediatamente. (Além disso, os usuários não deveriam nem estar usando seus desktops para o dia-a-dia com direitos de "Administrador". O computador do terminal server é apenas um grande PC de várias cabeças e não é diferente dos PCs desktop nesse aspecto. .)
Além disso, parece que você vai querer redirecionamento de pasta para obter "My Documents" (e possivelmente as pastas "Desktop" e "Application Data") no servidor onde você deseja armazenar os dados do usuário. Você não conseguirá impedir que os usuários sejam salvos nos diretórios "Temp" por usuário ou no perfil do usuário (sem quebrar o funcionamento do sistema operacional). O redirecionamento de pastas e a educação do usuário são seus amigos. No entanto, não ter direitos de "Administrador" limita seriamente o número de lugares que os usuários podem armazenar arquivos e aumenta a probabilidade de que eles salvem arquivos no lugar certo.
Geralmente, eu uso um objeto de diretiva de grupo definido no processamento de diretivas de loopback do modo "Substituir", aplicado à unidade organizacional com os computadores do servidor de terminal. (Este é um ótimo aplicativo para o processamento de política de loopback de política de grupo - você deve ler sobre isso.)
Eu preencho esse GPO de loopback com todas as configurações por usuário que desejo aplicar aos usuários do servidor de terminal (geralmente personalizações do Microsoft Office, redirecionamento de pastas, ajustes na aparência do Windows, etc.).
Se você tiver vários servidores de terminal, recomendo definir um perfil de usuário móvel de serviços de terminal para cada usuário (para um local diferente do perfil de usuário móvel do Windows) para que o ambiente de serviços de terminal os "acompanhe" entre os diferentes máquinas do servidor de terminal.
Editar:
Se você decidir que deseja restringir quais programas o usuário tem permissão para executar, sugiro que consulte "Políticas de Restrição de Software" (consulte link ). Você pode impedir que os usuários executem aplicativos, exceto aqueles que estão armazenados em caminhos específicos (lugares que os usuários não têm permissão para gravar - "\ Arquivos de Programas ...", "\ Windows", etc) ou que possuem assinaturas. Se alguém fizer o download de um EXE para o diretório% TEMP% (um lugar onde ele pode gravar), ele descobrirá que o Windows não o executará.