[решено] RPD из инета только определенной учетке?

Привет!

В сети предприятия существует терминальный сервер на W2K3R2. На него по RDP могут заходить сотрудники, входящие в группу TerminalUsers.
Локалка соединяется с интернетом через dlink'овский роутер.

Сервер имеет адрес 192.168.0.100
Роутер 192.168.0.1
Клиенты получают имена с DHCP на сервере, область 192.168.0.10-50

С dlink'а проброшен порт 3389 на сервер, чтобы администратор мог заходить с него через интернет по ip, определяемому через dyndns. Dyndns настроен на роутере и работает.

Проблема в том, что юзеры, имеющие право на RDP-подключение также могут зайти на терминальный сервер из интернета, что совершенно нежелательно. Можно ли сделать так, чтобы пользователи, не входящие в административную группу могли соединяться лишь из локальной сети, но не из интернета? Желательно штатными средствами и не устраивая выделенного прокси-сервера?