O que você está fazendo deve funcionar. Eu tenho algumas sugestões para depuração:
- Confirme se a VM está recebendo a política de grupo corretamente.
- Confirme se as Políticas do Computador - > Configurações do Windows - > Configurações de segurança - > Políticas locais - > Atribuição de direitos de usuário - > Permitir logon através dos Serviços de Área de Trabalho Remota é indefinido ou permite logins.
- Confirme se o grupo é, na verdade, um membro de Usuários da Área de Trabalho Remota. (Você pode forçar isso através da Diretiva de Grupo com diretivas de computador - > Configurações do Windows - > Configurações de segurança - > Grupos restritos e restringir os usuários da Área de Trabalho Remota ao seu grupo - mas somente se nenhuma VM tiver outra pessoa além de seu grupo Essa configuração não apenas expulsará pessoas e grupos, como também adicionará pessoas e grupos se eles ainda não estiverem lá.
- Confirme se os Serviços de Área de Trabalho Remota estão sendo executados como uma conta que tem o direito de procurar grupos no AD. (A conta padrão deve.)
Espero que ajude.