Como você disse, você precisa adicioná-lo ao grupo local Usuários da Área de Trabalho Remota. Se você quiser configurá-lo "lado do servidor", a solução é criar um grupo do AD, adicionar as contas necessárias a esse grupo e criar uma configuração de GPO "Grupos restritos":