[Animal]

Лучше всего не делать таких пользователей админами своих машин. Тогда они ничего не поменяют, как бы им адрес не присваивался - статически или через DHCP.

В DHCP резервирование можно создать и там связать MAC-адрес с IP. Правда я не пробовал проставлять на раб. станции вручную адрес из DHCP-диапазона, не знаю - будет у него доступ в сеть или система выдаст конфликт адресов.
Но даже если выдаст конфликт адресов (в чем я сильно сомневаюсь), все равно остается возможность поставить IP не из диапазона DHCP, например диапазон 192.168.10.50-192.168.10.200. Используется маска 255.255.255.0. Тогда пользователь сможет поставить например 192.168.10.49. Чтобы это закрыть можно либо firewall какой-нить настроить на сервере, либо использовать такой диапазон DHCP, который не оставит возможности увидеть сеть, используя IP адрес за его пределами (чтобы большим не делать можно маску нестандартную использовать).

Если же учетная запись, под которой работает чел, включена в группу администраторы данной раб. станции, то он по-идее все равно сможет обойти это ограничение. Мак-адрес подменив например.

На дорогом активном оборудовании вроде-бы можно ограничить IP для порта, что с др. IP просто не подключишься.