V jednom bankovním korporátu to bylo jednoduché. Pracovní počítač je pro práci. Žádná elevated práva. USB zakázané na úrovni bezpečnostního SW. Youtube, FB, seznam atp. standardně blokované. Výjimky pro práci udělované individuálně. Například marketing, prodejci (weby), klientští pracovnící (USB-RO). Admin práva nikdo kromě IT. Aktualizace načítané/vynucované ze serveru. Automatické pravidelné skeny SW na disku s hlášeními na centrální IT. Sledování záložek/historie prohlížení se myslím nedělala, ale už nevím. Jen se vždy kontroloval přístup na aktuální url/web kvůli virům a malware.
V jednom automotive korporátu to je volnější v tom, že web je hlídán jen na základní nevhodné stránky, YT, FB atp umožněné. Admin práva na kancelářských pc a ntbk ne. Na diagnostických pc admin práva ano, tam jsou občas potřeba, ale tato zařízení nejsou zapojena do domény, navíc zůstávají na dílně.
Je ale lepší předpokládat, že na pracovním počítači můžete být "sledován" a proto mi připadne lepší pracovní a soukromou sféru oddělit. Já třeba původně chtěl mít firemní image Windows ve virtuálu na Linuxu, abych nemusel tahat dva počítače, ale bylo to tak pomalé, že jsem to vzdal. A to mám nový rychlý ntbk.
Občas u nás přijdou noví zaměstnanci s tím, že jsou zvyklí na určitý software a jestli jej mohou dostat a používat. Kupodivu jde obvykle o souborové manažery nebo snímání obrazovky. Pokud jim to urychlí práci, není to moc drahé a projde to základní bezpečnostní kontrolou, proč ne, obvykle se jim vyjde vstříc. Ohledně stahování filmů - je dobré být opatrný. Například složku Dokumenty, Plocha a další už můžete mít na OneDrive (a nemusíte o tom vědět). Firma za OneDrive platí. Pokud tam máte filmy, můžete mít zbytečný problém. Já když na to přijdu, řeknu uživatelům, ať si to přesunou na externí disk/flashdisk a případně jim i nějaké zařízení doporučím. Ale takový přístup nemusí mít každý.