1. Поставить пароль на BIOS
2. Разрешить включение ноута/компа только после авторизации на центральном сервере.
Что уж там у Вас Ldap или AD - и там и там это элементарно делается.
Получается, что включить ноут можно только внутри фирменной сетки.
Для гурманов рекомендую еще и диски зашифровать.