res2001

Вы описали сразу 2 проблемы:
1. Десктопная винда (это та что не серверная) она однопользовательская в принципе. Т.е. работа одновременно двух пользователей - это нарушение лицензии. А подключение RDP всегда пытается создать новую пользовательскую сессию для своего подключения. Поэтому винда автоматически выкидывает пользователя, который уже залогинен.
Можно использовать Windows Server там этой проблемы нет. Можно на десктопную винду поставить RDPWrapper, тогда поведение RDP сессии будет аналогично серверной винде, но это нарушение лицензии.
К тому же это не избавит вас от того, что новое RDP соединение будет пытаться создать новую сессию.

2. Есть режим RDP, когда вы подключаетесь к существующей сессии (консольной или RDP). Называется теневое подключение (Remote Desktop Shadowing). Но это требует дополнительной подготовки. Почитать можно, например, тут: https://domoticzfaq.ru/rds-shadow-tenevoye-podklyu...
Если вы используете только теневое подключение, то с RDPWrapper можно не заморачиваться.

Как тут уже советовали универсальное решение - настроить ВПН и внутри ВПН использовать любые локальные ресурсы, которые необходимы, в т.ч. и по RDP.

При прямых руках можно и RDP выпустить наружу без дополнительных прослоек в виде ВПН. Но это надо делать на серверной винде с поднятой службой RDS, на десктопе скорее всего полностью обезопасить RDP подключение не выйдет.
Вот тут статья о защите RDP. Она хоть и старая уже, но принципы те же.
Еще несколько полезных статей:
https://winitpro.ru/index.php/2022/02/17/ustanovka...
https://winitpro.ru/index.php/2019/12/17/rdp-tls-s...
https://winitpro.ru/index.php/2022/03/17/nastrojka...

Какая версия винды стоит на VPS?
Если Windows 10 (7, 8, 11) - то это ограничение десктопной версии винды - она однопользовательская, в том смысле, что одновременно работать может только один пользователь. Это лицензионное ограничение.
Для многопользовательской работы предусмотрена Windows Server, количество одновременных соединений так же лицензируются отдельно. Вообще тема лицензирования Windows Server довольно не простая.
На гитхабе есть RDP wrapper, который снимает это ограничение для RDP сессий на десктопной винде. Но вы должны понимать, что это нарушение лицензии. Если VPS в РФ, то сейчас на это можно не обращать внимание. Но думаю, что это не на долго.

Делает отдельный каталог на раб.столе с набором .rdp файлов для всех ваших серверов. Файлы называйте так что бы было удобно находить нужный, можно делать вложенную иерархию. И все доступно из коробки :-)

Любой человек в состоянии просто запомнить несколько телефонных номеров. Ничего ни записывать, ни выносить, ни качать не придется.

Пусть работают безопасники.
Компания должна привлекать клиентов другими способами, чтоб клиенты сами не хотели уходить. Например тарифами или качеством услуг.
Кроме того, можно заинтересовывать работников, чтоб им не хотелось работать на лево.
На счет RDP - вы можете на стороне сервера запретить монтирование дисков клиента на сервер, в этом случае по RDP файлы не утащить. Но у вас, на сколько я понял, компы этих же пользователей с десктопной виндой. Там это то же можно делать правкой реестра или политиками. Гуглите.
Так же можно развернуть систему DLP, но это сложно и не дешево, ее надо сопровождать и т.п. Защититься от утечек очень сложно. И ни один из вариантов не дает 100% гарантию.

Десктопные версии винды однопользовательские (Win10/8/7). Когда подключается второй пользователь у первого должен завершиться его сеанс. Завершился сеанс - все запущенные в сеансе программы так же завершаются.
В серверных версиях винды такого ограничения нет.

чтобы он ощущал себя как будто на своем пк сидит?

Настроите RemoteApp и пользователи вообще не будут видеть удаленного рабочего стола, только окно удаленного приложения. Отзывчивость зависит от канала связи (в т.ч. и пользовательского) и ресурсов сервера (их должно хватать).
Ограничивать ресурсы пользователей RDS можно с помощью DFSS. Для этого требуется серверная версия винды, конечно.

Должна работать служба удаленных рабочих столов. На английской Вин10 она называется (Remote Desktop Services), как называлась в Вин7 х.з. Она слушает порт.
Пользователям должны быть присвоены пароли.
Пользователи должны быть членами группы "Пользователи удаленных рабочих столов" или как-то так, точно не помню. Добавление пользователей в список, то что вы проделали как раз и добавляет пользователя в эту группу.

Google Hangouts можно попробовать.
Плюсы:
1.ученикам не нужно ставить доп.приложения, прекрасно справится веб версия;
2.Учитель кидает в какой-то общий чат (телеграм, вацапп, что угодно) ссылку на видео конференцию, ссылка может быть все время одна и та же. Ученикам даже не нужно регистрироваться в сервисе, просто переходят по ссылке и попадают в конференцию.
3.Нормальное качество, возможность показа раб.стола
4.Есть приложение для смартфона. Веб версию на смарте не испытывал, только на ПК.

Минусы: нужен дополнительно еще какой-то общий чат, но тут выбор достаточно богат. Кстати в самой видео конференции чат то же есть.

Правда я не использовал его на 20-30 человек, максимум на 10.

Если не брать в расчет, что в самом RDP могут быть какие-то уязвимости, то передать вирус юзера могут только скопировав какой-то файл со своего компа на рабочий, если мапятся диски. Скопировать файлы теоретически может и вирус работающий на домашней машине клиента. Но передать файл мало - его надо еще и запустить удаленно. Если зловред подменит собой стандартный RDP клиент - то тут он сможет сделать уже много чего в рамках пользовательских прав на удаленном ПК. Я про такой вариант вирусов не слышал, но теоретически - почему бы и нет.
Защита обычная - антивирус на удаленном компьютере и только ограниченные права + блокирующий корпоративный фаервол. Принудительно не мапить диски и прочие флэшки. В таких условиях и в локальном варианте вирусу достаточно трудно развить свою деятельность.
На счет настроек RDP на десктопной винде - да кнопочек нет, но все то же самое есть в GPO и в локальных политиках безопасности (если AD не развернута).

Я бы не пускал юзеров на свои локальные компы в сети удаленно, т.к. вы получаете Nое количество толком не контролируемых точек входа в сеть. Вирус то может туда и не проникнет, а вот сами пользователи смогут унести все что плохо лежит.
По уму выделить терминальный сервер в ДМЗ. С него предоставить доступ в ЛВС через дополнительный (не локальный) закрытый фаервол с доступом только к нужным сетевым ресурсам. Нужные файлы пользователи должны держать в доступных сетевых каталогах. В терминальном сервере оставить работающими только безопасные защищенные протоколы, настроить полноценный сертификат с собственным ЦА, обязательно включить авторизацию на уровне сети.

Можно:
1.включить проверку подлинности на уровне сети
2.не использовать самоподписанный сертификат (завести свой ЦС, генерить на нем сертификаты для сервера и клиентов)
3.использовать только надежные протоколы шифрования
4.включить проверку подлинности клиента
5.изменить порт RDP по умолчанию - опционально
Вот тут не плохо все описано.

В целом это общие методы для защиты любого соединения (не только RDP) с помощью SSL/TLS.

Видимо используете микрософтовские стандартные варианты ВПН?
У микрософта есть такая штука CMAK помогает созадавать установщики ВПН соединения.
Так же создать ВПН соединение можно с помощью powershell скрипта используя апплет Add-VpnConnection.
Тут и тут пишут, что можно и просто в cmd (т.е. батником) создавать соединения.
Подключить ВПН соединение с помощью rasdial, запустить RDP - mstsc.

Если использовать openvpn, то можно уйти от паролей и сделать ВПН на ключах. Распространять уже преднастроенную сборку openvpn. Клиентские ключи можно регулярно банить и генерить новые. Новые выкладывать на сайте.
Логин/пароль на винду лучше не прописывать в скрипте а публиковать на сайте и так же регулярно менять - пусть пользователь вводит их ручками. На всякий случай - сохранить логин/пароль для RDP соединения можно с помощью утилиты cmdkey.

Бесплатного аналога удаленному рабочему столу винды с похожим функционалом и характеристиками нет.

Одно время был удаленный офис с каналом в 256 Кб/с, там 5 юзеров. В принципе канала хватало. Не сказать, что лагов не было, но вполне терпимо.

Я так понимаю сейчас у вас ВПН нету вовсе.
Настройте любой бесплатный ВПН, например OpenVPN.
Могут быть проблемы связанные с NAT и динамической адресацией - их то же придется решать самому.

Недавно уже был тут подобный вопрос.
Становится похоже на баг.

Для shadow не нужен домен, имхо.