Пользователь AD должен иметь доступ к серверу RDP, но не локально для клиентов

У меня есть член группы «пользователи домена», который перестал работать локально на клиентских ПК и ему нужен только доступ к серверу RDP (что он уже успешно может сделать). Поэтому, чтобы запретить этому пользователю входить в систему локально на любом клиенте, я зашел в AD и изменил свойство «logon to ...» его учетной записи со «все рабочие станции» на «только эти» и ввел DNS-имя RDP. сервер (например, "CPY-K-TS1"). Но теперь этому пользователю запрещен вход по протоколу RDP, говоря: s.th. например, «администратор ограничил число рабочих станций, на которые вы можете войти» (я работаю над немецкой системой, поэтому я попытался перевести сообщения и имена свойств).

Что теперь?? Я ошибаюсь?

Сначала я подумал, что на самом деле я не хочу, чтобы этот пользователь входил в систему локально на сервере RDP, а только через RDP - поэтому, возможно, мне следует оставить список разрешенных рабочих станций пустым, но AD этого не позволяет. В этом случае свойство автоматически устанавливается на «все рабочие станции».

Возможно, стоит упомянуть, что в силу прежней необходимости у этого пользователя есть перемещаемый профиль. И предоставление прав входа в систему по RDP происходит из-за того, что он является членом группы AD, которой на самом сервере RDP предоставлены права доступа RDP (поэтому нет объектов GPO RDP).