Ich habe es nun geschafft. Die Lösung ist ziemlich einfach. Man darf nicht mit der vordefinierten Gruppe "TERMINALSERVERBENUTZER" arbeiten. Ich habe eine neu Gruppe "TS-Benutzer" erstellt und die Benutzer die sich am Terminalsever anmelden dürfen, mit hinzugefügt. Die Richlinie hab ich dann auf die OU gesetzt, die den Terminalserver beinhaltet (OU=Domän Controllers). In diese OU hab ich nun noch die Gruppe "TS-Benutzer" hinzugefügt.
Ich weis auch das man einen TS nicht auf einem DC laufen lassen sollte. Doch wenn man einen Chef hat der Kunden bei irrwitzigen Sparmaßnahmen unterstützt, kann man nicht viel machen außer seine Bedenken zu äußern.