Почему Вы выбираете Удаленный рабочий стол? Почему бы не включать VNC, GoToMyPC и так далее?
Нет никакого надежного способа сделать это действительно. Если Вы прилагаете усилие для блокирования как можно больше, Вы оказываетесь перед необходимостью делать большую работу.
Можно установить брандмауэр для блокирования всего кроме того, что Вы объяснительным образом разрешаете и затем позволяете только вещи, которыми Вы управляете. Дайте Вашим администраторам некоторый способ временно открыть дыры или vpn вокруг брандмауэра. Вы не можете просто заблокировать общий порт для своих пользователей, так как пользователи могли просто установить какую-то VPN/туннель.
Или можно использовать инструмент, чтобы создать белый список всего позволенного приложения на машинах и заблокировать все остальное.
При использовании дистрибутива Linux затем, можно, вероятно, использовать suPHP. suPHP, позволяет Вам выполнять сценарии PHP с UID/GID php файла, который обрабатывается.
Необходимо будет удостовериться, что каждый из vhosts имеет их собственный UID/GID.