По-умолчанию, во вкладке безопасности сервера терминалов, полный доступ предоставлен только группе администраторов.
Задача - дать группе пользователей доступ с правами рдп-администратора, без предоставления прав локального администратора.
Сделать это необходимо через ГП, так как, во-первых, количество настраиваемых серверов достаточно велико, во-вторых, механизм настройки не должен зависеть от памяти администратора, любой новый сервер должен автоматически входит в работу, только добавлением его в необходимое АУ, без дополнительного конфигурирования.

Буду признателен за совет. ОС В2к3.Энт

Разъясните, что такое "права RDP-администратора"?

Это группа пользователей, которая имеет привелегию "полного доступа" во вкладке безопасности RDP-tcp. На практике данная группа имеет права, как минимум, подключаться в сессии других пользователей или принудительно завершать их сеансы.

Вопрос расширяется, где хранятся настройки безопасности для консоли, они полностью соответствуют настройкам терминального сеанса, но где то запрятаны.

Ответ - обычным образом никак (

http://support.microsoft.com/kb/259129/ru
http://support.microsoft.com/kb/290720

Настройки безопасности рдп сессий
HKLM
SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Security

Настройки безопасности локальной консоли
HKLM
SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations
ConsoleSecurity

Через административные шаблоны обычным образом тоже не запилить, ибо ...Binary data is not supported...

http://technet.microsoft.com/en-us/library/cc779058%28v=ws.10%29.aspx

лечение
http://support.microsoft.com/kb/943729

и создание ГП из в2к8