Em quase todos os casos, você vai acabar com a autenticação de certificado User + Group [e | ou] em vez de solicitar o controle da máquina. Para esclarecer o que cmbrnt mencionou re: LogMeIn , que ainda é um acordo de autenticação baseada no usuário, e você não está especificando qual os computadores clientes podem fazer tentativas de conexão.
Você instala o software LogMeIn no host que deseja controlar e, em seguida, efetua login no site do LogMeIn (autenticação do usuário) para fazer uma tentativa de conexão a esse host de onde quiser. Depois disso, você autenticará novamente naquela máquina (ou domínio).
Portanto, o LogMeIn é mais seguro do que simplesmente abrir um furo para o RDP, pois você não tem serviços expostos e está autenticando duas vezes, onde ambas as conexões (cliente < - > LogMeIn < - > host) são conexões seguras. Há até uma terceira opção de "senha do host" que você pode usar, se quiser, IIRC.
Eu acredito que o LogMeIn ALSO tem filtragem de onde as tentativas de conexão vêm, mas elas seriam por endereço IP, o que, como você disse, não é viável.