Immagino che la politica sia lì per prevenire le infezioni virali perché i computer sono una risorsa di gruppo e non una risorsa personale (ad esempio, i dipendenti possono prendere qualsiasi PC disponibile, al dipendente non è assegnato un PC "proprio" per intero periodo di occupazione).
In questo caso, consiglierei di eseguire una sorta di soluzione kiosk / readonly. Un esempio è l'avvio dei PC su iSCSI con iPXE, in cui la destinazione iSCSI è di sola lettura. C'è un setup un po 'complicato in cui devi fare i primi pochi megabyte della partizione di sola lettura read-write e quindi resettare questa parte in originale ogni avvio, altrimenti Windows 7 BSoD all'avvio.
Se riesci a vivere con un SO Linux - ECCELLENTE, puoi ospitare una distribuzione live su un server HTTP e poi farli avviare da iPXE.
Se vuoi attaccare le unità nei computer, un'altra soluzione è utilizzare una di queste schede di protezione HDD esistenti, che garantisce il ripristino di un computer in uno "stato pristine" ogni riavvio.
Quando hai implementato una soluzione di sola lettura / "live", puoi concederti i diritti di amministratore dei dipendenti. Non importa, possono scaricare i peggiori trojan di sempre - riavviare - i trojan sono spariti. Se capita una grande infezione da trojan, spegni tutti i PC di lavoro, quindi riavvia tutti i PC. infezione persa.
Se la politica invece è dovuta a materiale sensibile sui PC che può essere trapelato, consiglierei di spostare quel materiale sensibile su "terminali sicuri", ad esempio PC temprati dove la macchina PC è bloccata in un armadio, niente è accessibile tranne schermo, tastiera e mouse. E poi i dipendenti che vogliono accedere a materiali sensibili devono recarsi su un terminale sicuro. In questo caso, i terminali di sicurezza possono anche essere fisicamente bloccati e richiedono uno swipe della tessera di accesso - dove questo sfioramento sblocca anche il terminale, per la massima sicurezza.
Se i PC sono "personali", ad esempio il dipendente riceve un PC "assegnato" che è il suo per l'intero periodo di lavoro, e quindi quel PC viene restituito o diventa vacante per il prossimo dipendente, quindi vorrei suggerire una politica dove "sei responsabile per il tuo PC". Lascia che facciano quello che vogliono, se il loro PC non si avvia più, è colpa loro. Per la riformattazione potresti avere un costo di servizio per diciamo 50 $. Quando il dipendente lascia, quindi riformattare PC per il prossimo dipendente gratuitamente.
Naturalmente, in TUTTI questi casi, presumo che l'isolamento dell'utente sia attivato dall'interruttore di rete in modo che i PC non possano "parlare" tra loro.