Bom dia Claudio
como alternativa.
dentro da OU onde fica os seus servidores
Crie sub-OU dentro dela. e movimente os 20 servidores que nao terao acesso remoto para o seu consultor
Adicione uma diretiva a esta OU, onde será possivel configurar a diretiva para negar acesso a um usuario especifico de logar remotamente neste servidores que no seu caso sera o usuario do seu consultor.
Segue imagem da diretiva.

Espero ter lhe ajudado.
Enderson Valente Teixeira - Coordenador de Informática