přihlášení: tak každá normální firma má doménu pro přihlášení. do ní se dostane jen z povolené sítě, s doménovým jménem a heslem.

cílem je mít pokud možno všechny účty v group omezených users.
(teď mě rozveselil kolega, prý to tak mají i na měřicích testerech, kde ovládáš hw pci karet). to by mě po letech života pod windows nenapadlo, že to někdo zkoušel)

do vlan se jim nedostane cizí mac adresa, ta rovnou dostane zákaz. na soho routerech do kanclu k tomu slouží volba radius-server.
samotná ochrana mac k přístupu do sítě nestačí, je nutné současně členství compname v active directory.

instalace: userům havarují na nedostatku práv, navíc si firma může dodatečně skenovat obsah těch pc ...
protože vždycky nějací poweruseři vydyndají práva, dá se zakázat spuštění konkrétních názvů .exe nebo checksum, velký význam to nemá.