Supongo que la política está ahí para prevenir infecciones de virus porque las computadoras son un recurso del Grupo y no un recurso personal (por ejemplo, los empleados pueden tomar cualquier PC que esté disponible, el empleado no tiene una PC "propia" asignada para el período de empleo completo).
En este caso, recomendaría ejecutar algún tipo de solución de kiosco / solo lectura. Un ejemplo es arrancar las PC a través de iSCSI con iPXE, donde el destino iSCSI es de solo lectura. Hay una configuración un poco complicada en la que debe hacer que los primeros megabytes de la partición de solo lectura sean de lectura y escritura y luego restablezca esta parte en cada inicio, de lo contrario, los BSoD de Windows 7 en el inicio.
Si puedes vivir con un sistema operativo Linux - EXCELENTE, puedes alojar una distribución en vivo en un servidor HTTP y luego hacer que iPXE los inicie.
Si desea mantener las unidades en las computadoras, otra solución es usar una de todas las tarjetas de protección de disco duro que existen, que garantiza que la computadora se reinicie a un "estado prístino" cada vez que se reinicie.
Cuando haya implementado una solución de solo lectura / "en vivo", entonces puede otorgar a los empleados derechos de administrador. No importa, pueden descargar los peores troyanos de todos los tiempos: reinicio, troyanos desaparecidos. Si llega una infección de troyano grande, apague todas las PC de trabajo y vuelva a iniciar todas las PC. infección garantizada desaparecida.
En cambio, si la política se debe a material sensible en las PC que puede filtrarse, recomendaría mover ese material sensible a "terminales seguros", por ejemplo, PC endurecidas en las que la máquina de la PC está bloqueada en un gabinete, no hay nada accesible Excepto pantalla, teclado y ratón. Y luego los empleados que desean acceder a materiales confidenciales tienen que ir a un terminal seguro. En este caso, los terminales seguros también se pueden bloquear físicamente y requieren un pase de tarjeta de acceso, donde este pase también desbloquea el terminal, para máxima seguridad.
Si las PC son "personales", por ejemplo, el empleado obtiene una PC "asignada" propia que es suya durante todo el período de empleo, y luego esa PC se devuelve o queda vacante para el próximo empleado, entonces sugeriría una política Donde "eres responsable de tu propia PC". Permítales hacer lo que quieran, si su PC ya no arranca, es su culpa. Para el cambio de formato usted podría tener una tarifa de servicio por digamos 50 $. Cuando el empleado se va, usted reformatea la PC para el siguiente empleado sin cargo.
Por supuesto, en TODOS estos casos, asumo que hay un aislamiento del usuario en el conmutador de red activado para que las PC no puedan "hablar" entre sí.