Portanto, se eu entendi seus requisitos, você tem a configuração da VPN. Quando os usuários se conectam, eles estão protegidos por um firewall que restringe todo o tráfego, exceto o 3389, que é usado pelo MS RDP em seus desktops. Você também deseja restringir os usuários de imprimir de seus PCs de trabalho para qualquer impressora externa, impedir que eles cortem e colem através da área de transferência de sessão RDP e transferir arquivos de seus PCs.
Eu acho que você precisa olhar para isso de uma perspectiva de rede, bem como configurações de política.
Você pode criar uma diretiva e impedir o redirecionamento de porta LPT na configuração do computador de GPO "Modelos Administrativos \ Componentes do Windows \ Serviços de Área de Trabalho Remota \ Host de Sessão da Área de Trabalho Remota \ Redirecionamento de Dispositivo e Recurso \ Não Permitir Redirecionamento de Porta LPT". Você também pode configurar a área de transferência no mesmo local.
No que diz respeito à transferência de arquivos desse PC para outro local, você terá que restringir os protocolos na camada de rede para impedir que o SMB, HTTP, HTTPS, FTP, etc. da sua rede interna para qualquer lugar externo. Se isso já está em vigor, nada relacionado ao RDP deve mudar isso. AFAIK, cortar e colar arquivos via RDP não é suportado.
Lembre-se de permitir que eles acessem e-mails a partir de sua área de trabalho, eles sempre poderão enviar arquivos por e-mail, a menos que você os bloqueie no servidor de e-mail.