Во-первых, это вопрос не по теме. Вам лучше обратиться к курсам по безопасности Windows и в соответствующие форумы по администрированию терминал-серверов.

Во-вторых, по существу вопроса:

 1. задача решается исходя из конкретной инфраструктуры. Что такое "общие принтеры?". Если сетевые принтеры, то проблем нет. Если это принтеры, подключаемые по RDP, то также проблем нет. Если на вашем сервере вообще не используется cifs, то вам достаточно закрыть файерволом этот протокол. Если сервер автономный - закройте все кроме порта 3389 (RDP по умолчанию) и будет Вам счастье...

2. и 3. Можно, но это вас не спасет. Если пользователь знает про "\\" то он скорее всего знает (узнает) про другие возможности... Это и стороннее ПО, и веб-браузер и прочее... все не закроешь...

Решил проблему следующим образом.

Вводная информация:
1. Есть в офисе Терминальный сервер с двумя сетевыми платами (одна смотрит внутрь сети, а вторая в интернет). Он же и раздает интернет.
2. Есть в офисе несколько десятков тонких клиентов.
3. Есть в офисе несколько приходящих сотрудников (ноутбуки со своим Windows).
4. Есть необходимость в доступе к Терминальному серверу через Интернет с домашних компьютеров (со своим Windows).

Предполагаемая проблема: утечка информации с терминального сервера.

Решение:
1. Отключаю на обоих сетевых интерфейсах «Клиент для сетей Microsoft» и «Служба доступа к файлам и принтерам сетей Microsoft». Таким образом, ограничиваю доступ к сети снаружи Терминального сервера и изнутри.
2. Сделал 6 видов терминального доступа на 6 разных портах.
Экпортируем ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Переименовываем ее как удобно и изменяем порт
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\(Название подключения)\PortNumber
Импортируем старую ветку.
И т.д. до нужного количества.
Почему 6 видов терминального доступа, ну для меня так удобнее: 3 на внутреннюю сетевую плату, а еще 3 на наружную. В каждом из терминальных подключений прописал группы, которые могут использовать это подключение и разбросал пользователей по этим группам.
Первый вид терминального доступа (стандартный порт 3389) разрешаю сопоставление дисков, принтеров, буфера обмена. Сюда идут тонкие клиенты (их можно контролировать файлом конфигурации) и надежные сотрудники.
Второй вид терминального доступа (порт 3390) разрешаю сопоставление только принтеров. Сюда идут сотрудники со своей и Windows и принтером.
Третий вид терминального доступа (порт 3391) ничего не разрешаю. Сюда идут сотрудники со своей и Windows, которым нельзя даже распечатывать.
Четвертый, пятый и шестой вид терминального доступа (порты 3392, 3393, 3394) делаю аналогично, но для доступа через интернет. Может сотруднику и можно в офисе подключать диски или печатать, то не факт, что это им нужно разрешать делать через интернет. Поэтому прописал другие группы, которые могут использовать это подключение и разбросал пользователей по этим группам. Брандмауэром на внешней сетевой плате оставил открытые порты только 3392, 3393, 3394.
Подключаются к серверу терминалов через server:port

В результате:
1. Тонкие клиенты подключаются классическим способ (за это спасибо команде itadvisor.ru). USB и прочее отключено в файле конфигурации.
2. Пользователи со своими ноутбуками подключаются внутри сети server:port (3389, 3390, 3391) со своими правами.
2. Удаленные пользователи со своими компьютерами подключаются через server:port (3392, 3393, 3394) со своими правами.

Локальной сети Microsoft – нет.
Права внутри сети на сетевые принтеры или в IP-адрес тонкого клиента – раздаем.
Права при подключении к удаленному рабочему столу зависят от того к какому порту подключаешься.

На терминальном сервере в файерволе закрыть все порты, кроме 3389.