Безопасный "удалённый доступ" к RDP серверу

[Mihail]

Работаю админом в больнице. Иногда возникает необходимость предоставить удалённый доступ какому-нибудь сотруднику к его рабочему месту. Когда это место - стационарник, проблем никаких. Но здесь используется почти 40 тонких клиентов, сервером RDP для которых выступает одно из вычислительных лезвий IBM Blade. В принципе, и здесь не было бы никаких проблем: пробросил порт для RDP и дело с концом, но... У всех пользователей пароли 111
Пользователей почти 700 человек, в основном пенсионеры. Пароли были установлены старым админом года 3 назад, вариант со сменой паролей отпадает. И в то же время, хотелось бы дать людям иногда по RDP подключаться из дома. Кто знает какие варианты могут подойти? Денег глав. врач не выделяет, так что FOSS решения, наверно, единственные допустимые.

[GPU]

Разбаловали вы своих пользователей. В большинстве более-менее серьезных организаций, которые хоть немного заботятся вопросами безопасности, соблюдаются минимальные рекомендации по защите информации – системные администраторы требуют от пользователей смены пароля каждые 30-40 дней.
Обычно это организовано на уровне контроллера домена, за несколько дней до даты смены пароля пользователь получает предупреждение, что скоро его пароль будет недействителен. Если он не успевает поменять его вовремя – доступ в компьютер блокируется.
Поверьте, после нескольких таких случаев пароли начинают менять все.

[Игорь]

Обычно это организовано на уровне контроллера домена, за несколько дней до даты смены пароля пользователь получает предупреждение, что скоро его пароль будет недействителен. Если он не успевает поменять его вовремя – доступ в компьютер блокируется.

Зачем что-то блокировать и злить пенсионеров? Это плохо отражается на авторитете системного администратора и его зарплате. Можно просто заставить пользователей принудительно поменять пароль при очередном логине. Это делается штатными средствами Windows Server любой версии.