O GPO adicional que pode ajudá-lo com esse problema seria o logon como um trabalho em lote . Você pode negar explicitamente o RDP do objeto de usuário, enquanto ainda pode criar sessões locais.
Um pequeno trecho da guia "explicar": Por exemplo, quando um usuário envia um trabalho por meio do agendador de tarefas, o agendador de tarefas registra esse usuário como um usuário em lotes e não como um usuário interativo.
Você cria um grupo específico que armazena contas de serviço e as envia por meio de um GPO ou apenas adiciona os objetos de usuário em uma necessidade de adicionar uma base.
EDITAR: Você pode querer verificar a política Fazer logon como um serviço também se quiser se concentrar em minimizar os direitos de acesso quando necessário.