Wi-fi для клиентов, но не для сотрудников, как?

Значит так:
1) Сканировать сотрудников на входе металлоискателем и отбирать на входе всю технику.
2) Если сотруднику помогли с "воли" и занесли мобильник знакомые/родственники посадить специально обученного человека следить за этим на камерах.
3) Еще лучше приковать сотрудников к рабочим местам наручниками, чтоб всегда были на виду и не могли воспользоваться вайфаем там, где не просматриваются с камер.
4) В туалет ходить в присутствии специально обученного человека вайфай-контроллера.
5) На всякий случай рекомендую простреливать коридоры.
6) Отобрать паспорта у всех сотрудников, чтоб они не могли уволится нафиг из такой организации
Если что это все был сарказм и я в упор не понимаю такого дебилизма не на режимном предприятии, что за привычка оценивать продуктивность работника не по финансовым показателям а по каким-то идиотским параметрам типа не пользовался вайфаем, уходил позже всех, не тратит время на курилку, жрет быстрее всех и т.п.

Кроме административного воздействия, могу предложить:
1. Поотключать WiFi на устройствах сотрудников
2. Блокировать по макам на роутере.

А вообще маловато исходных данных...

А смысл? Ну будет сотрудник не вай-фаем пользоваться, а мобильным интернетом.

Но если сильно хочется, уменьшите мощность передатчика или поставьте направленную антенну на в сторону, куда надо распространять сигнал. Или поставьте к сотрудникам ближе еще одну точку с таким же SSID и не подключайте ее к интернету. Устройства сотрудников будут подключаться к ней, а интернета не будет.

Если территориально не позволяет, придется выискивать MAC-адреса сотрудников (а это, как правило, которые подключены длительное время) и блокировать их.

Я тоже про электронную очередь, но иначе.
1. пароль на AP меняется раз в N времени (среднее время ожидания в очереди * 1,5)
2. печатается на квиточке. Нужно понимать, что одновременно работающих паролей будет несколько.

Собственно, всё. Несколько паролей затем, чтобы не получилось, что человек только пришёл, а его пароль через 2 минуты истекает. Думаю, что можно сделать вообще индивидуальный пароль.

при таком раскладе получаем, что сотрудник, которых хочет вайфая, должен будет регулярно бегать за талончиком. Это будет заметно. В ситуации, когда клиент оставляет талончик, а сотрудник берёт пароль уже с него, будет не так заметно, но всё же - вопрос небольшого времени.

Но в общем можно заморочиться и фильтром по MAC, конечно.

Я смотрел кто более трех дней в неделю по маку появляется в сети - баним )))