теневое подключение для непривилегированных пользователей (shadow remote terminal services connection)

 На каждом сервере, где необходимо осуществлять подключения, необходимо выполнить следующую команду (запустить cmd или powershell от имени администратора):

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName='RDP-Tcp') CALL AddAccount 'Domain\Group_Name',2

где

Domain — имя вашего домена

Group_Name — имя группы, в которой состоят пользователи, которым необходимо дать доступ

Источник: https://habr.com/ru/articles/494300/