È difficile da dire. Esistono certamente prodotti di gestione di terze parti che sfruttano i profili di configurazione, ecc. Per bloccare le opzioni. Ma è molto difficile fermarlo tramite la riga di comando se ci sono degli amministratori.
Ad esempio, suppongo che potresti impostare un launchagent per guardare specifici file plist di rete, e fare qualcosa se sono cambiati. Dovresti anche pensare alle preferenze memorizzate nella cache (cfprefsd e tutto). Tuttavia potrebbe rivelarsi inopportuno interferire con il normale funzionamento del sistema operativo.
(Amministrativamente parlando, fare confusione su una configurazione di rete e perdere la comunicazione con tutte le macchine sarebbe un incubo :) :)
Potresti anche voler prendere in considerazione il raggiungimento dei tuoi obiettivi con altri mezzi. Se hai problemi con le persone che modificano le voci DNS, puoi semplicemente programmare uno script da eseguire ogni giorno che ripristina il DNS.)