O ambiente de propriedades do usuário AD do Windows Server 2003 não substitui as configurações do cliente de área de trabalho remota do usuário final

AFAIK, você pode desabilitar coisas por meio de políticas de grupo e configurações de TS do usuário, mas não há como forçá-las a serem habilitadas. Se as conexões do dispositivo cliente estiverem desativadas em qualquer lugar, elas serão desativadas. Este é basicamente um caso em que DENY terá precedência.

Com servidores 2008r2 e o gateway TS, acredito que você pode forçar clientes recentes (win 7) a ativar o mapeamento de dispositivos ou eles não conseguirão se conectar, mas como você está usando o Windows 2003 e XP, não acredito que haja algo que você pode fazer no servidor para forçá-los a permitir o mapeamento do dispositivo cliente.

Como seus usuários estão se conectando ao servidor de terminal? Por que você simplesmente não fornece a eles um arquivo RDP com as configurações do cliente configuradas da maneira que você deseja?

A configuração é "cooperativa" no sentido de que se você definir a propriedade ADUC como habilitada e o usuário a definir como desabilitada no cliente RDP, ela será desabilitada. Você está configurando-o no ADUC, GP ou TS para que o usuário tenha "permissão" de acesso a essa funcionalidade, mas isso não "força" a configuração no cliente RDP.

"Você pode levar um cavalo até a água, mas não pode obrigá-lo a beber."

As configurações habilitadas precisam de uma seleção correspondente no lado do cliente (redirecionamento de unidade, redirecionamento de impressora, etc.).

As configurações desabilitadas são controladas estritamente no lado do servidor via ADUC, GP ou TS.