Ну тут сам понимаешь, есть несколько путей. Самый правильный - централизация потока информации через ответственное лицо, всё остальное - запрет (это мой опыт, за 4 года ни одного вируса или поломки от пользователей в сети с 10 серверами и 40 клиентами). Как в таком случае бороться с носителями ноутов? Во первых охрана - выносить только с твоего ведома железки. Во вторых DHCP - это у тебя работает. В третьих против "ручных" IP - управляемые свичи, роутеры на которых разрешён роутинг и передача пакетов только с разрешённых подсетей, все остальные - drop (до такого у меня не доходило, хватало первого и второго). Ну есть ещё один не очень простой метод, который применялся для общественной сетки (типа минигостиницы) - клиенты все общались по VPN, ставили клиентов на ноуты и на VPN сервер и все через него в инет и к файлопомойке, прожило до появления безлимита. Безопасность прежде всего : )))