Препятствуйте тому, чтобы административные пользователи присвоили дублирующегося статического дюйм/с своим рабочим станциям
Клиент ОС отвечает за загрузку профиля роуминга пользователя в конечном счете. У меня были случаи и с Windows XP (иногда) и с Windows Vista (несколько часто), где изменение AD персональных страниц пользователя для их профиля было беспечно проигнорировано клиентом с очень небольшим диагностическим выводом.
Иногда тонкая настройка значений "NextLogonCacheable" и "RefCount" в ключе для SID нужного пользователя под "HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList" может иметь значение. По-видимому, некоторые драйверы Nvidia могут вызвать эти виды проблем (!!!).
У меня были случаи, где я только что сдался, создал папку профиля на сервере w/соответствующие полномочия (который я обычно делаю так или иначе - мне не нравится позволять клиентам создавать папки профиля), и просто скопированный с руки все там, в то время как зарегистрированный как другой пользователь.
Создайте отдельную подсеть (и желательно отдельную VLAN) для ваших серверов. Это в значительной степени устраняет проблему «случайного» перекрытия.
Используйте какой-либо вид NAC или аутентификации на уровне порта, и назначенный DHCP адрес должен быть предварительным условием проверки работоспособности.
Не позволяйте вашим пользователям быть admin на своих локальных машинах :)
Вы можете запустить сценарий, используя групповую политику, чтобы настроить сетевой адаптер на использование DHCP.
Похоже, также может быть групповая политика для отключения сетевых настроек: Как отключить настройки TCP / IP в Windows 7 через GPO?
Попробуйте включить отслеживание DHCP. Каждое устройство, подключенное к коммутатору, должно будет отправить DHCP-запрос и получить действительный ответ от вашего доверенного DHCP-сервера, прежде чем сможет использовать сеть.