建置AD後
1.網域帳號只有給一般使用者權限。
2.你必須將該網域帳號加入本機管理者群組，才會有本機管理者權限，千萬不要將 Domain Users加入管理者群組。
3.所以，其他人用他自己的網域帳號登入，只會是一般使用者權限。當然看不到其他人的檔案。
4.你可以限定哪個帳號只能登入哪台電腦。

Hi~ 由於目前 貴公司尚未導入AD環境，因此可於將用戶端電腦Join Domain時，

將Ｄ槽的安全性進行修改，將Users及Everyone(若有的話)拿掉，

因加入網域後domain users該網域群組會自動加入本機的Users，

拿掉後就只有本機的管理者可以存取囉～

以上提供給您參考～

*一台一台作很麻煩，可至微軟尋找是否有Script幫您完成此工作～

不知是不是我的錯覺
其實我看完你所描述，感覺高層似乎並不十分支持，或是目前仍有相當大的疑慮，即使你現在解決你所描述的12點，我個人覺得，挑戰與問題不會只有這些，而每一個疑慮都會被拿來當作攻擊與反對的藉口。
你上述所說的都能做，寫Script也行，但是我的經驗，這樣下去會累死你。
AD建置下去，是百年大計，高層支持與信任十分重要，不亞於ERP。
消除大部分長官與使用者的疑慮，是十分重要的。除非是由上到下，長官魄力性支持，不然建議從小到大，從一些較不重要，小單位試做起，逐步取得信任與支持。

"目前用本機管理員很自由"
加入網域，這個觀念就是要去除，包括資訊人員自己，不然乾脆不要加入AD，否則出事了，會害人害己。(切身之痛)
"也擔心加入網域後被別人使用網域帳號登入，看到自己電腦其他磁碟裡的資料。"
機密單位或重要長官，如財會、董事長、總經理之類的長官，可視為原則例外調整，但如果多如牛毛，每個使用者都要自己的要求原則堅持，就不是原則例外，是根本無原則可言。不如暫緩，取得共識。

網域管理員是個很重要的角色，之所以權限夠大，是為了日後能進行網域的管理，如果每台都限制網管人員的進入與控制，那何必做AD? 相對的要慎選網域管理員，不僅學識要能堪任，道德上也必須是值得信任的。

以上純個人經驗，家家有本難念的經，若未能幫上你，甚感抱歉!

有老大支持在推阿~
不要累死自己又遭人嫌~
我是覺得方案1
的問題怪怪的，如果要管理他們為什麼要開那麼高的權限給他們~是因為他們可以自行修電腦嗎~不用再麻煩你來管嗎~那要mis做什麼@@~是我要做我大概給他們user的權限~大不了組織再大一點的話~分給各部門一組管理者帳號~由一個專門的人員管理~(帳號密碼為什麼還要收集管制@@~這樣建AD好像就沒意義~他們的帳號密碼給他們自己保管~管理者有最高權限~把管理者權限給各部門長官及政風~AD有好幾組角色權限視需求情況開給他們)
「長官要求讓「AD維護人員」(也就是可以限定哪個user只能登入哪台PC的管理者)也無法登入別人的主機」這個要跟長官溝通觀念，該權限不能進去別人電腦就不能做維護；我有看過一篇論文報告可以解決這樣的問題~該研究寫一套網頁程式與AD結合~當有需要維護權限的帳號時~提出申請~網頁程式就記錄申請人的訊息資料(IP、帳號、申請時間、...)~然後給他一組系統產生的帳號~限定申請人在30分鐘內使用~使用時間到該帳號則由程式自行清除~這樣可以達到你們家長官的要求~讓維護人員要用的時候再申請帳號維護~平常就用自己的帳號~也可以比照同方法給政風及高階長官申請來使用~困難點就是要寫程式架網站~不然有預算也可以請人家來做~
方案2
大家都有答覆了~也回答的超出我所知~
我的想法就請參考看看吧~

建議導入 AD，軟體有價，資訊安全無價。

當然導入 AD 不是萬無ㄧ失，只是基本措施，但有 AD 至少是管裡的開始。