iptables, не позволяющий подключения mysql искаженному дюйм/с?
Если они испытают необходимость для поиска и устранения неисправностей рабочих станций, то им действительно будут нужны права локального администратора.
Ваш подход является правильным: используйте доменную группу (но это должен быть домен, глобальный, если Вы хотите еще вложить его в чем-нибудь), и поместите учетные записи пользователей в него; лучше не присваивать полномочия определенным учетным записям пользователей, группы существуют точно с этой целью.
О добавлении группы группе локальных администраторов на каждой рабочей станции: место не делает этого вручную :-)
Используйте любого простой сценарий запуска машины с командой net localgroup Administrators /add DOMAIN\YourGroup, или установка групповой политики Restricted Groups.
Имеют ли клиентские хосты .184 или .196 дополнительные IP-адреса в другой вашей подсети?
Если вы выполните tcpdump -qn port 3306 и попытайтесь подключиться к одной из этих систем, что вы видите? Вы видите ожидаемый адрес источника? Вероятно, это простая проблема маршрутизации.
Когда система принимает решение о маршруте, она обращается к таблице маршрутизации. Таблицы маршрутов - это список, к которому всегда обращаются в определенном порядке. Маршруты ссылок для локальных сетей почти всегда являются наиболее предпочтительными маршрутами и будут использоваться перед маршрутом, использующим шлюз (маршрутизатор). Шлюз по умолчанию - это всегда маршрут, который используется, когда другой маршрут не применяется. Если для данного маршрута определен src , то этот адрес будет предпочтительным и, скорее всего, будет использоваться при использовании этого маршрута.