Windows 2003 ограничение в правах группы пользователей на терминальном сервере

Есть когда-то купленный Windows 2003 OLP и 10 RDS к нему "на пользователя". Установлен в Hyper-V. Находится в рабочей группе, Нужно ограничить в правах одну из групп терминальных пользователей, которая будет работать только с небольшим количеством программ, без офиса. Обычно обходились созданием пользователя с параметрами среды, для запуска нужной программы, но количество лицензий не резиновое, а программ много.

Поэтому, даем этим пользователям рабочий стол и ограничиваем в правах.

Ограничения на уровне NTFS

Ограничение для группы на диске C. Обзор диска доступен, но права урезаны (минимально для работы нужных программ). Файлы и папки вне своего профиля создавать не могут.

Запрещаем все, кроме не отмеченного, группе на диске D. На диск зайти не могут, полный доступ только в папках с программами.

Программы запускаются из папки пользователя на диске D, для этой папки убираю наследование разрешений, и даю полные права нужному пользователю.

Ограничение квотированием

На диске С включаю квоту, и выставляю минимум для пользователя с ограничением, чтобы не засоряли "рабочий стол" и "мои документы".  По сути, мне рабочий стол для них нужен только для хранения ярлыков.

Ограничение через политику ограниченного использования программ

Используется не жесткий, режим "неограниченный", с блокировкой только некоторых программ. Здесь ограничения уже по всем пользователям. Не забываем исключить из ограничений локальных администраторов.

Скрытие дисков в проводнике

Это уже больше косметическое ограничение.
Взято с текнета, через gpedit.msc скрываем диски в Проводнике (ниже пути на английском, но для русской понятно что нужно)

"User Configuration" -> "Policies" -> "Administrative Templates" -> "Windows Components" -> "Windows Explorer" -> "Hide these specified drives in My Computer".

Эту политику создаете либо локально на сервере, либо прикручиваете к OU, где расположена учетная запись вашего терминального сервера, и включаете режим Loopback Processing

"Computer Configuration" -> "Policies" -> "Administrative Templates" -> "System" -> "Group Policy" -> "User Group Policy loopback processing mode" Режим "Замена"

Но теперь администратор тоже попал под ограничение. Исправляем это.
Сделано на основе этой статьи для 2003. Делается для "Конфигурации пользователя". Сразу квест не удался из-за невнимательности и спешки. На что обратить внимание, важна последовательность:

• под админом создали политики записали (запомнили), вышли
• под всеми юзерами, для которых эта политика создана, вошли-вышли
• после этого админом вошли, забэкапили текущий Registry.pol с включенными политиками, изменили в gpedit.msc на дефолтные вручную по тем записям(памяти) из пункта на два выше, закрыли редактор (При этом редактор политики создаст новый файл Registry.pol),  перезапишите вновь созданный Registry.pol забэкапленным. Выйдите и проверяйте. Теперь ограничения только у нужных пользователей.
• если где-то стратили, то удаляйте в %Systemroot%\System32\GroupPolicy\User файл Registry.pol и начинайте заново