Uma forma de atingir esse objetivo seria através do AppLocker .
Um trecho do link acima:
AppLocker helps administrators control how users can access and use files, such as executable files, packaged apps, scripts, Windows Installer files, and DLLs. Using AppLocker, you can:
- ...
- Create exceptions to rules. For example, you can create a rule that allows all Windows processes to run except Registry Editor (Regedit.exe).
Esse exemplo em particular soa como se fosse a conta, exceto que você substituiria o Regedit.exe pelo mstsc.exe.
Você usa a Diretiva de Grupo para configurar o AppLocker para computadores em um domínio do AD.
