Se tudo que você precisa compartilhar é um único computador via Remote Desktop, abrir uma única porta para esse computador é provavelmente a solução mais fácil. É extremamente rápido e não requer que os usuários remotos façam nada, exceto executar o Remote Desktop Client.
Se você precisar compartilhar vários computadores, impressoras e outros dispositivos, é mais fácil permitir o acesso VPN à sua rede local. Uma vez que alguém é VPN'd, eles podem se conectar a qualquer computador de intranet permitido a eles sem ter que picar mais buracos através do seu firewall. No entanto, eles precisarão da VPN antes de poderem fazer qualquer coisa.
Ninguém pode dizer qual é o melhor para sua situação; um não é melhor que o outro, eles são apenas diferentes. Você também pode permitir a Área de Trabalho Remota para um único servidor de terminal do Windows Server e, a partir daí, os usuários podem se conectar a outros computadores internos. Ou, se você tiver uma máquina do Windows Server 2008 executando o IIS, poderá configurar o recurso Gateway de Área de Trabalho Remota e não precisar expor nenhuma porta à Internet pública que não seja 443 para o servidor HTTPS.