pokud zaměstnanci mají práva správce na tom pc, můžeš to blokovat jedině na routeru - nepovolit jejich mac adresám přístup na net.
na routeru zároveň nastav "statické dhcp" podle mac adres těch pc, ať máš přehled kdo je v síti.
nastavení sítě při přihlášení/odhlášení uživatele můžeš logovat, viz gpedit.msc