Решил Я всё таки свою задачу, видать у меня пока GPO на все DC не распространилось. Правило не работало. Что сделал. Под админкой добавил двух пользователей, учетку под которой вхожу в shadowRDP и учетку с которой подключается клиент в список Локальных админов на самом ПК и в AD. Нужно было подождать по дольше чем 15 мин и пробовать войти. Что имеем, теперь Бухи могут подключаться по shadowRDP к ПК на котором стоят ключи для КриптоПро не выдавая эти ключи самим бухам