Добавить пользователей в локальные группы довольно просто, достаточно создать синоним локальной группы Администраторы и добавить туда нужную доменную группу (или отдельных пользователей). Тогда члены этой группы станут локальными администраторами и смогут входить на любую рабочую станцию с административными привилегиями.1. бело-зеленый
2. зеленый
3. бело-оранжевый
6. оранжевый
Честно не вникал особо в принцип работы mydlp (статья большая, читать лень), но предполагаю что он работает по "своим" отличным от обычных портов.
Ну и собственно, блокируете на файрволе принтерные порты, скажем 9100, или 631, можно до кучи 161-й.. итп.
Ну или если этот mydlp работает как прокси, или принтсервер... То можно вообще заблокировать доступ к принтерам напрямую.