Parece-me que o foco aqui não está nas contas de segurança ou usuário (ou mesmo no servidor Windows 2008), mas em como você arquiteta a rede (ou seja, colocando seus roteadores e configurando-os adequadamente). As empresas fazem isso o tempo todo e, com o equipamento certo, não é tão difícil de realizar.
Eu recomendaria configurar uma sub-rede separada para seus dispositivos sem fio. Você tem a idéia certa: use 192.168.1.x para sua sub-rede com fio e, em seguida, use uma sub-rede separada para sua rede sem fio (192.168.2.x, por exemplo).
Não coloque seu (s) roteador (s) sem fio na mesma sub-rede de seus dispositivos com fio. O que quero dizer?
Digamos que você tenha 20 portas RJ 45 espalhadas pelo prédio. Todos eles estão conectados a um switch que é então conectado ao que está fornecendo DHCP para esses dispositivos com fio.
Não basta conectar um roteador sem fio a uma dessas portas de parede. Se você quiser colocar um hub sem fio em uma porta do seu escritório, tire essa porta do switch e mova-a para um switch separado, que é APENAS fornecendo internet para seus dispositivos sem fio.
É assim que eu faria, de qualquer forma ... Se você tem um bom equipamento de rede como a Cisco (e o know-how), então essa precaução não seria absolutamente necessária, como você poderia simplesmente definir vlans separados.