[victor111]

Virtual, могу сказать только одно если пользователь просто работает то он вообже ничего не увидит и не узнает про смену учетки и пароля
ну а если среди пользователей юные хакеры это тоже не проблема
1. запрещаем запуск всего что связано с администрированием
2. вход в систему только после инициализации сети
3. создаем политику кто может быть админом на клиентских машинах
4. запретить вход с локальной учеткой, только с доменной

в итоге даже при сбросе пароля админа (при загрузке с диска) вход без сети невозможен а если сеть работает должны сработать групповые политики и пароль снова и снова не будет давать хулиганить всяким разным

можно даже в батнике пароль иногда менять и он будет меняться на всех машинах