Изоляция пк в домене ad с помощью выдачи сертификатов?

Роман Безруков, Как я понял, это как раз то, что я задал в предыдущем ответе nApoBo3, верно?
Собственно закрываем (отключаем) линки на свичах, которые не используются.
Когда выходит новый пользователь, группа ТП подготавливает машину с активного Линка (доступ к dhcp не будет закрыт при отсутствии сертификата на машину?), после подготовки машины, ввода ее в домен и переноса в «trusted computers нужно активировать линк на свиче. Пользователь вводит свои креды и уже получает личный сертификат.
Проще говоря, получается что нужно выдавать сертификат для машины и пользователя который на ней работает, чтобы а) машина имела доступ к сети и б) пользователь имел доступ к данным.
Получается, что если somebody захочет постучаться к DC, FS и т.д. он не сможет этого сделать по вышеописанным причинам, верно? (Если вдруг найдет способ получить доступ к физ. линку)

Прошу прощения за сумбур, возможно намудрил сильно, но очень надеюсь на Ваш ответ!

Изоляция пк в домене ad с помощью выдачи сертификатов?

nApoBo3, в таком варианте полностью согласен.
WPA-Enterprise получает сертификат только при подключении по линку и после уже через радиус авторизируется в сети по сертификату.
А можно ли что-то подобное провернуть только по физическому линку? Заранее благодарю.

Изоляция пк в домене ad с помощью выдачи сертификатов?

Alex G., раз я задал такой вопрос, то видимо недостаточно.