Простой способ удалить пользователей по нужному критерию, в моем случаи по profile и uptime
:foreach i in [/ip hotspot user find profile=2M uptime>=24:00:00] do={/ip hotspot user remove $i}

Простой пример, как запретить определенные сайты через static dns. Добавим запись.
/ip dns static add address=127.0.0.1 name=apps.skype.com
Удалим кэш днс
/ip dns cache flush
После этого на любом клиенте в локальной сети выполним команду, она отчистит локальный кэш.
ipconfig /flushdns
Проверим другой командой
nslookup apps.skype.com
Примерный вывод.

╤хЁтхЁ: UnKnown
Address: 192.168.1.200

Не заслуживающий доверия ответ:
╚ь : apps.skype.com
Address: 127.0.0.1

Так же не забываем, что у клиентов не должно быть разрешения на обращение на другие ДНС сервера.
Пример правила, которое все запросы ДНС редиректит на наш Микротик.
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.1.200 to-ports=53 \
protocol=udp dst-port=53 log=no log-prefix="RedirectAllDNS"

Скрипт для получения записей

#!/bin/bash
src="
http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&showintro=0&mimetype=plaintext
https://adaway.org/hosts.txt
"
i=0; for LS in $src; do i=$((i+1));
wget --no-check-certificate -O hosts_list.$i $LS;
done;

in="hosts_list.*"
out="./adblock_dns.rsc"
host='127.0.0.1';
echo "/ip dns static" > $out && grep '127.0.0.1 ' $in | grep -v '^#' | cut -d' ' -f 2 | sort -u | grep . | sed "s/^/add address=$host name=/" >> $out && rm -f $in; wc -l $out;

Оригинал на Хабре, подправил ошибки. Полученный файл import adblock_dns.rsc

Простой способ заблокировать мак-адрес.

 /interface bridge filter add chain=input action=drop \

src-mac-address=54:04:A6:BA:C1:88/FF:FF:FF:FF:FF:FF log=no log-prefix="Block"

Подключаемся к микротику по ssh или через winbox. Выполняем команду

/tool romon set secrets=Z6Re3TQpjE~+Bsw&b>QG enabled=yes

Аналогично выполняем на всех остальных микротиках, для упрощения лучше воспользоваться скриптом. После запускаем winbox и нажимаем подключится Connect to RoMon. И в списке доступных устройств получаем все микротики.

Простенький скрипт, который можно запускать раз в минуту. Если будут обнаружены устройства, которые не могут получить адрес по dhcp, и статус offered то они будут заблокированы. При поступлении жалов можно выяснить причину и снять блокировку.

/ip dhcp-server lease; :foreach i in=[/ip dhcp-server lease find dynamic=yes status=offered] \
 do={:local dhcpmac (:set dhcpmac [get $i mac-address]); \
 :local DT ([:pick [/system clock get date] 4 6]. \
 [:pick [/system clock get date] 0 3]. \
 [:pick [/system clock get date] 7 11]); \
 :local TM ([:pick [/system clock get time] 0 5]); \
 /ip dhcp-server lease add mac-address=$dhcpmac block-access=yes always-broadcast=yes comment="Blocked-$DT=$TM" address=dhcp_pool1 address-lists=Blocked; \
 /log info message="$dhcpmac blocked at $DT:$TM"}