Implemente a autenticação 802.1x em sua rede e / ou desative todas as suas portas de switch não utilizadas.
O DHCP, os IPs estáticos e o AD têm muito pouco a ver com a sua segurança de um estranho que tenta obter acesso.
Se você não quiser desabilitar as portas, sugiro colocar todas as portas de switch "extras" em uma VLAN que tenha seu próprio servidor DHCP e não direcione para qualquer outra coisa em sua rede. Em seguida, monitore esse servidor DHCP para qualquer concessão e rastreie onde as pessoas estão conectando aleatoriamente. Se você realmente quiser, pode configurar um portal cativo na VLAN explicando por que eles não podem navegar na Internet.