Die Zugriffs- und sonstigen Rechte der einzelnen Nutzer/Hosts kann man im AD schön regeln und dass ein Mitarbeiter irgendwelche Software installieren kann, fällt von vornherein aus. Kann man dann noch die eingehenden Emails (pop3/imap) z.B. mit einer Sophos auf Malware und Viren scannen und nutzt deren eingebauten sonstigen next generation Schutzmaßnahmen, ist man schon ganz weit vorn mit dabei
Das ist schon mal recht zielführend.
Aber wenn schon Sophos, dann konsequent auch dort DHCP und DNS. So können wesentlich mehr von den Schutzfunktionen greifen und werden zentral verwaltet. Solche Sachen wie Dark Web Blocker, Malicious Website Blocker etc funktionieren bei einer Sophos deutlich besser als Unifi oder gar MS. Bei Sophos entdeckt man sofort, welche PCs der Kollegen auf einmal durchdrehen.