Есть вариант - запуск ltsp-сервера, как базы для тонких клиентов
В ltsp можно отключить нерадивым пользователям часть оборудования, как usb или sata
+ логгирование действий при помощи Snoopy, прозрачный прокси, прописаный в /etc/environtment (для http, ssl и ftp)
Все остальные действия логгировать уже на win-серверах или где дальше пользователь работает.
Но лучше не городить велосипедов и взять готовые DLP