Bueno, yo tengo algo parecido, no sé si es exactamente lo que buscas. Soy bastante vago, así que intento siempre lo más facil y efectivo.

Tengo varias máquinas administrativas que necesitan usar ciertas herramientas. Las herramientas están instaladas y mantenidas en servidor. Las herramientas están instaladas en ciertas carpetas a las que solo acceden quienes deben acceder. Un usuario accede a una determinada carpeta con determinada/s herramienta/s a la que él y solo él a parte del administrador puede entrar. La información generada por las herramientas se almacenan en servidor NUNCA en la máquina de usuario, con lo cual es método/software de backup siempre es contra servidor.

Se pueden activar ciertas auditoría para suecesis de inicio de sesión, acceso al servicio de directorio, objetos, procesos, etc, para tener algo de más control. Siempre sobre la máxima de protejer, detectar y tener un plan de respuesta ante cualquier suceso que trastoque la seguridad de la red o servidor.

Todo esto en ambientes sencillos, grupos de trabajo, etc. Cuando existe un AD, ambientes con bastantes más usuarios y equipos, aunque la filosofía es parecida, cambia en la forma de establecer los usuarios, permisos, accesos, etc, es decir GPOs y sobre esto bufom puede ayudarte mejor.