pindschik

Яндекс-браузер - так и ставится в профиль пользователя. А поставить его крайне настойчиво предлагает сам Яндекс при посещени поисковика...

С AppLocker есть проблема легкого обхода, тут даже на хабре были статьи. Плюс там надо делать хэш, а это значит что даже Хром и Edge при каждом обновлении будет выпадать из белого списка...
Тем не менее - этот вопрос решается и решение не техническое, а организационное. Запрещаете приказом, знакомите с приказом, включаете при необходимости в положение о премировании, должностную инструкцию, трудовой договор.
Потом делаете аудит и снижаете премию пойманным, с публикацией приказа внутри организации, чтоб остальным было неповадно. Рецидивистам делаете дисциплинарные взыскания и увольнения. И проблема решается - пусть и не техническими методами. В том числе с кадрами типа "ой, а оно само, я ничего не делалала, я в этом ничего не понимаю".

Не очень хорошо, но можно сделать скрипт, пробегающий профили и всем исполяемым файлам (.exe, .com, .msi, .msp, .bat, .scr, .js, .dll), навешивает аттрибут запрет исполнения. При этом отбираете у профиля пользователя полные права на файлы профиля (только в разрезе смены прав и выполнения), и удаляете права для создателя файла. Потребуется немного в политиках объяснить системе, что без полных прав тоже приемлемо. Тогда скачать они смогут, запустить нет. При этом нужно запрещать создание папок на диске С и запрещать исполнение файлов на других сетевых ресурсах.
Можно поиметь проблем с совместимостью с ПО, надо тщательно тестировать.

Отключать проверку пароля на уровне сети - крайне опасная затея. Т.к. терминальная сессия становиться доступна без пароля и соответственно все уязвимости доступны злоумышленникам в полной мере. Особенно если она "светит" наружу.

Система напоминает о скорой замене, по умолчанию за две недели, но многие пользователи обладают выборочной слепотой и не видят уведомление. Попробуйте настроить скрипт рассылки ИМ писем, когда пароль заканчивается и что его пора сменить. А для особо запущенных случаев, если не хотите, чтоб каждое утро у вас начиналось со смены паролей - есть жестокий способ - при обращении пользователя меняйте ему пароль, но на серийники от Windows XP или что-то подобное. После пары вводов такого пароля - они сразу и резко научаются их менять и перестают забывать (кроме отпусков).

Еще не забывайте про утекшие пароли, через которые вам однажды занесут шифровальщика. Раньше такой проблемы не было, сейчас она очень острая. При чем атаковать вас будет не вирус, а человек оборудованный головным мозгом. Поэтому на внешних терминалах обязательно прикручивайте двухфакторку. Тот же MultiOTP бесплатен, и умеет дружить с Active Directory. А на смартфоне он совместим с кучей программ, вплоть до Google Authenticator.
Уж если вам так хочется решить проблему паролей - сделайте их бессрочными, разрешите сохранять на клиентских устройствах, но оставьте проверку одноразового ПИН-кода из аутентикатора.
Тогда пользователь при подключении введет пароль, поставит галку "сохранить", а дальше будет заходить фактически только по ПИНу, украсть который нереально (ну пока что).

З.Ы.
По возможности завязывайте с серверами 2019, 2016, 2012 и т.д. Сейчас актуален 2022. На 2019 уже начинается "проблема Windows XP".

1) В AD создаете группу безопасности, долустим Localadmins
2) В GPO, в подразделении - там где находятся нужные компьютеры (например компы сунуты в папку "рабочие станции") создаете политику и в ней добавляете в локальную группу администраторов - группу Localadmins и администраторов домена. Желательно поставить галку - удалять других членов группы, чтоб не было возможности обходить отсутствие прав.
3) В политике находите пункт "запретить доступ компьютеру из сети" - и добавляете туда Localadmins. Это предотвратит заражение примитивным сетевым червем всего офиса через админскую учетку пользователей.
4) Обновляете GPO на клиентской машине (ну или перезагружаете)
5) Добавляете нужных пользователей в группу Localadmins, они получают админские права на свои компы, при этом не являясь администраторами домена и других подразделений. Лазать по сетевым шарам на других рабочих станциях подразделения они не смогут, но и зато запустить туда трояна удаленно, пользуясь админскими правами - тоже.

В общем несложно, нужно пробросить локальную и внешнюю подсети по одной сетевушке через разные Vlan'ы. После чего их можно разделить на уровне виртуалок по отдельным виртальным адаптерам:
1) Поднимаете роль Hyper-V
2) Ставите ОС в виртуалку, она и будет маршрутизатором
3) Берете управляемый свич, в один порт подключаете внешний интернет канал и настраиваете на этом порту нетэгированыый порт Vlan, например Vlan 2. Еще один порт - делате с двумя тэгированнымы VLan'ами допустим Vlan 1 и Vlan 2. Остальные порты загоняете в нетэгированный Vlan 1.

*Повторимся, что в итоге что получаем:
- в вашем свиче есть пара Vlan: Vlan 1 - для локалки (много портов) и Vlan 2 - выход в интернет (1 порт).
- еще один порт - объединяющий Vlan 1 и Vlan 2 с тэгированным трафиком (пихаем в сервер).

4) В сервере создаете виртуальный коммутатор, вешаете его на вашу сетевуху, разрешаете доступ хосту на Vlan 1 (последнее необязательно)
5) В виртуалке создаете пару виртальных адаптеров, на один заводите Vlan 1, на второй Vlan 2.
Готово у вас сервак с парой сетевух. Пусть и виртальный. Поднимайте NAT по мануалу.

Условия чтоб получилось: сетевуха сервера, физически поддерживающая Vlan (иногда в драйвере есть, а по факту нет) и управляемый свич.

Если ни того ни другого нет, то схема иная: просто в свич втыкаете и всю локалку, и провайдера тоже. Настраиваете 2 сетевухи в вуртуалке, никаких Vlan.

Работать скорее всего будет, но ваша локалка будет попадать в сеть провайдера. Иногда это вообще неважно - провайдер всё зафильтрует. Иногда важно - от провапйдера попрут широковещательные пакеты соседей и DHCP.