res2001

Попробуйте добавить сертификат в Personal, Trusted People или Trusted Device
А вообще - не используйте самоподписанный сертификат.
Поднимите свой ЦС. Сгенерируйте сертификат ЦА, и сертификат сервера, который будет подписан сертификатом ЦА. На клиентах устанавливаете в корневые доверенные центры сертификации сертификат ЦА и будет вам счастье.
Можно использовать встроенный в Windows Server Центр сертификации, или использовать openssl.

Другой вариант - ослабить проверку сертификата у клиента. Думаю как-то это должно делаться в винде, возможно через реестр или GPO. Но я бы не стал этого делать.

при открытии "Сохранить как..." будет отображаться ФС удалённой машины, или локальной?

Удаленная ФС отображаться будет, локальная - если на клиенте включено перенаправление дисков.
На удаленном сервере урежьте права до пользовательских. На сервере не храните никакой ценной информации - пусть все получает с других серверов в сети в соответствии со своими правами, а терминальный сервер только для удаленного доступа.
Доступ к приложениям ограничивается, если развернута АД. Без АД - доступны все приложения, но можно:
1.не настраивать Web доступ к приложениям, чтоб пользователи не могли увидеть полный список опубликованных приложений;
2.Настраивать приложения на клиенте в ручную (через rdp или msi файлы).
Тогда фактически у клиента будет только то приложение, которое вы ему настроите.
Он, конечно, может сам получить доступ к другим приложениям, но для этого необходимо иметь кое-какие навыки в администрировании. У пользователей, имхо, таких навыков быть не должно, иначе нужно их приглашать в ИТ отдел работать.