Да это возможно:
Как установить клиенты менеджера конфигурации на компьютерах рабочей группы
также здесь взгляд на Руководящие Клиенты Рабочей группы в SCCM
Это - постоянное сражение, которое Вы никогда не будете выигрывать, но необходимо продолжать бороться. Несколько вещей любой магазин Microsoft должны определенно сделать:
Удачи.. :)
Я искренне надеюсь, что эти devs имеют локального администратора только и имеют только учетные записи обычного пользователя в Active Directory.
Devs, возможно, понадобится доступ к серверам и т.д., но если Вы поэтому уже не делаете, можно использовать отдельный VLAN для dev среды; никакой доступ к рабочим серверам, только к dev/qa/staging. Имейте использование devs другая рабочая станция для доступа к обычным, рабочим серверам.
С другой стороны, и менее надежно, можно попытаться разделить вещи на логическом уровне (например, другой лес Active Directory, возможно, домен).
Если devs действительно/получают доступ к производственным системам, увеличивают Ваш вход и контроль систем напоминания и делают некоторое пользовательское образование: "Почему Вы входили в систему той производственной базы данных и копировали таблицу со всеми хэшами пароля?" вид вещи.
Примечание: это, очевидно, зависит от размера и сложности Вашей организации.
Просто комментарий: Вы, кажется, подозреваете инструменты с открытым исходным кодом, как являющиеся опасным. Они могут быть, но реальная проблема не управляет устройством хранения данных и использованием исполняемого кода на dev ПК. Может быть закрытый исходный код также ;)