Apenas conceda ao usuário permissões necessárias no "1 servidor". Eles não poderão fazer login em nenhum outro lugar porque não terão permissão. Esta não é uma solução de VPN ou solução LDAP, em vez disso, é apenas como a permissão é concedida em um servidor.
Embora isso os torne um "Usuário de Domínio", eles ainda terão acesso apenas aos recursos concedidos, que devem ser limitados.
Considere, por exemplo, o desktop remoto, os usuários do domínio devem ter acesso negado a este recurso por padrão. O mesmo vale para outros recursos, como CIFS e sites. Se esse não for o caso, é uma ótima oportunidade para analisar como o acesso é concedido aos recursos.
Dependendo do nível de acesso necessário, as restrições de Logon podem ser usadas para que possam fazer login apenas em determinados horários e em sistemas de domínio específicos.
A alternativa é criar contas locais para acesso VPN e acesso ao servidor.