Разграничение доступа по типу входа

Предлагаю в настройках учетной записи/группы учетных записей добавить возможность отключать доступ через “Рабочее место оператора” (только веб интерфейс).

Это противоречит концепции работы с системой. Веб-интерфейс - это только один из клиентов, которые подключаются к серверу через библиотеку Lers.Framework (интерфейс библиотеки публичный). Сервер ничего не знает про клиента, если добавить искусственные различия - любой желающий сможет их симулировать.

Самым простым и надежным способом является закрытие прямого доступа к TCP-порту подключения сервера (по умолчанию - 10000). Кому нужно - откройте через VPN.

Альтернативный вариант - ограничение по IP-адресам в параметрах учетной записи.