Dependendo do trabalho que eles têm que fazer dentro do domínio, considere trabalhar com um servidor de terminal (ou apenas um host dentro da rede da sua empresa).
Eles podem até trabalhar com seu Hardware privado (se quiserem) e você tem controle total do Terminal Server. Basta dar acesso a eles via VPN ou diretamente via RDP (se você tiver confiança nos protocolos da Microsoft):
O OpenVPN também teria um recurso de serviço no qual você poderia conectar a uma VPN uma inicialização do sistema. Você poderia reduzir isso com a Autenticação de Certificado (não exportável do armazenamento de certificados) e uma lista de revogação para NÃO permitir que os usuários se conectem mais.
o openvpn config precisa editar algo assim:
ca "YOUR_CA.pem"
cryptoapicert "SUBJ:OpenVPN-Client"
o certificado (com um nome de entidade correspondente) precisa ser importado, dentro do armazenamento de certificados de usuários (o usuário que inicia o serviço openvpn)