Ну в подобном деле опыт есть кое какой. Необходимо в первую очередь определиться с правом доступа (пользователь/гость). Учетка Админа не должна быть доступна не в коем разе. У нас для тех, кто выполнял работу с важными сложными подсистемами были даны права пользователя. Остальные (набор текстов и прочая мелочь) - гость. Для избежания проблем с "а я документ не могу найти..." - файлохранилище с резервным копированием раз в месяц. Фильтрация сайтов осуществлялась с помощью фильтров на проксе и повсеместным ограничением на самих машинах. В плане антивирусной защиты пользуемся Kaspersky Administration Kit (
http://www.kaspersky.ru/administration_kit ) Очень удобно и надежно. Очень советую. Если есть вопросы - отвечу.
