802.1 e / ou NAC / NAP, se seus switches e / ou servidores o suportarem. Por padrão, o laptop só estaria em uma sub-rede sem gateway. Em seguida, se determinados usuários puderem apresentar creds para o sistema de autenticação, eles poderão ser colocados em uma rede não em quarentena.
Eu percebo que isso não é "política local" como tal, mas vai funcionar e é até mesmo empresarial (centralmente gerenciado, refinado, etc).