1. LDAP (пользователи, логины/пароли, доступ в соответствующие места и т.п.) + Kerberos (ради авторизации через етокены) + NFS (домашние каталоги пользователей). АРМ пользователей - взаимозаменяемы.
политики безопасности в явном виде в линуксе не применялись, делалось настройкой АРМ и расстановкой групп для пользователя (типа - юзер такой-то входит в группу disk, группе disk разрешено монтировать флешки).
В качестве LDAP использовался Centos DS, АРМ - на Debian (образ готовился заранее и тупо заливался на диск при необходимости техподдержкой пользователей). NFS - один сервер на примерно 200 человек, проблемы с производительностью возникали только во время массового включения компов (упирались в iops дисков, а не в сеть).
2. доступ в инет осуществлялся через прокси с авторизацией (см. LDAP). Кого надо - пускаем везде, кого надо - на белый список, остальные идут подальше. Ну и анализ логов, учёт трафика и т.п.
3. журналирование - как настроишь (логи тыканья мышкой вряд ли возможны, логи открытия файлов - применялись). Централизованное хранение - при помощи форвардинга логов в сервер. Практически все syslog'и такое умеют, достаточно прочитать документацию.
4. не видел для установки на каждое рабочее место. По сети - использовался SNORT с кучей правил.