Dobrý den,
můžu doporučit RDP a stunnel (s parametrem verify 3). Uživatel se tak dostane pouze na RDP a na nic dalšího. Používám právě tam, kde uživatel nemá firemní ntb/pc, který nemám pod svou zprávou. Celý to mám, jako portable balíček, kde je cmd, které spusti stunnel a pak rdp. Jde samozřejmě o množství uživatelů, kterým by to člověk poskytoval. Protože pro každého uivatele je nutný extra NATovaný port. Je nutné mít samozřejmě pro každého certifikát. Stunnel server je možné buď rozjet v nějaké virtuálce a pak distribuovat po síťi, jak je nutné. Na klientských stranách je pak ideální mít aplikační FW - klidně ten od MS a s GUI nadstavbou Windows Firewall Control (a RDP pak povolit pouze ze serveru, kde běží stunnel).
Pokud je nutné mít stunnel server přímo na klientské stanici (protože jiná cesta prostě není), tak je akorát nutné, aby služba stunnel server se spouštěla se zpožděním (zařízení, kde jsou SSDčka nabíhají příliš rychle a stunnel se pak nesprávně nabinduje).
Možnost VPN je také možnost (openvpn, wireguard - ten zatím vyžaduje na win admin práva) a na straně serveru zaříznout vše, kromě RDP.
Pokud bude zájem, poskytnu klidně nastavení stunnel, jak server, tak klient.