К примеру разработчики должны иметь на локальных машинах права администратора, а в сети - права пользователя.
Бухгалтера должны быть пользователями на локальных компах и в сети иметь доступ лишь к специально созданной сетевой папке и ресурсам 1С. Администраторы должны иметь полные права в том числе и в сети. Оператор архива должен иметь право на резервирование данных, но как правило эту функцию несет сисадмин. Начальство же должно использовать свой сетевой ресурс на сервере (желатьтельно другой домен или при возможности лес). Также во избежании потерь конфиденциальной информации (финансовых отчетов и т.д.) я бы порекомендовал ограничить права на локальных машинах (от троянов и руткитов), использовать доступ по сложному паролю а лучше сертификату.
Имеет смысл внедрить политику ограничения исходящего доступа, что бы какой нить бух не припер с собой bluetouch модуль и не вышел в интернет через сотик. Это можно сделать запретив пользователям изменение конфигурации аппаратных средств, а также установку приложений. Если есть необходимость использования интернета, то надо делать это через одно защищенное сервером соединение, строго контролировать обновления антивирусного ПО, антируткитов и настраивать общую проверку системы хотя бы раз в 1-2 недели.
Можно так же ограничить пользователям выход в интернет (например в зону .com, на ftp, и т.д.).

Ваши идеи, примеры и предложения???