Ну, с начнем. Раз АД нету, значит настраивать тебе придется на каждом компе по-отдельности.
1)одинаковое ПО - ну уж чего установишь сам, то и будет.Ежели компы сходные то можно сдернуть потом образ акроником и развернуть на остальных компах с минимальными правками.
2)Отключить usb - как показала практика - лучше выдрать косички из материнки и (или) отключать в биосе.Остальные бесплатные методы ушлые пользователи обходят
3) отменить возможность установки - в профиле вводишь дополнительного пользователя с правами ПОЛЬЗОВАТЕЛЬ, себя под пароль как администратора.
(Правда пользователи все-равно пользуют портированные версии прог...собаки....). Тут пользователь в систему тебе вообще ничего установить не сможет, всё сам, зато под контролем.
4)Закрыть доступ к сайтам - уже сказали - либо на сервере поднимать прокси, либо в настройках роутера - почти в любом есть список запрещенных сайтов.Ежели в стандартной прошивке роутера такой возможности нет - посмотри альтернативные прошивки (open-wrt и dd-wrt)