Если вам интересно что именно используют и как делают, то:
Active Directory (Или LDAP) - смотрите в интернете, что и для чего юзают.
Vlan - для изоляции пользователей друг от дурга или сегменты сети.
В итоге. У простых смертных, когда они заходят по выданному им логин и паролю - их пользователь ограничен по правилам GPO. Например они ничего не могут запускать ничего кроме определенных программ. Ну или могут какой то минимум.
Как то так. Хотя от слива информации что не делай, ничего не поможет.