如何阻止域用户安装任何软件？

删除本地管理员权限，删除本地高级用户，花费数小时使用 sysinternals 软件调试存在访问问题的糟糕且架构不良的软件，以手动解决访问问题。

为主目录、配置文件等设置软件共享，并将选定的子目录（如我的文档）重定向到网络共享。然后使用 Faronics Deep Freeze 之类的软件在每次重启后将计算机“重置”回原始状态。

我认为他们也有可以将可执行文件列入白名单的软件，但是如果您有大量需要满足不同需求的系统，设置和维护将会很麻烦。

获取没有 CD 驱动器的系统并使用便携式 USB 驱动器来安装软件。

让人力资源部支持相关政策，明确规定系统上哪些内容是允许的，哪些内容是不允许的，这些内容是公司财产，不存在隐私问题。

使用过滤软件监控网络使用情况，必要时可以阻止下载。

你想要达到多严厉的程度？

您还可以使用系统映像并定期将计算机重新映像到干净状态。但仍需要维护，因为过期一个月的映像需要安装一个月的补丁星期二，此外用户仍需要在服务器上记录自己的数据，否则如果他们“意外”在本地保存了内容，您就会听到抱怨。

您需要检查您的政策，并在可用性、您将为员工完成工作带来多大的麻烦以及您想让您的员工感到多么痛苦之间取得平衡，如果雇主对员工期望很高，同时又不给他们任何授权或自由的感觉……那些感到被人踩在脚下、被人监视的员工会想出很多非常有创意的方法让您的生活变得更加痛苦，如果他们觉得这是合理的，他们不会为此感到一丝难过。

答案是阻止他们成为管理员。如果你不愿意这样做，那么他们总有办法绕过你设置的任何设置。

您的第一步是获得企业的支持，以真正允许您这样做。即使在大型企业安全环境中，我也看到高管不愿意设置应用程序白名单。之后，您应该研究软件限制策略。

这允许您根据以下内容允许或阻止软件：

哈希、证书、路径和 Internet 区域。

不适用软件限制的情况包括：

驱动程序或其他内核模式软件。

• 由 SYSTEM 帐户运行的任何程序。

• Microsoft Office 2000 或 Office XP 文档中的宏。

• 为公共语言运行时编写的程序。

对于 CLR 锁定，您应该使用 CASPOL。

部署步骤是设置一台测试机器并开始锁定策略。管理员权限对此类限制没有影响（除非您选择查看链接以了解详细信息）。一旦锁定了常规和基于 CLR 的软件，唯一真正需要担心的就是 Java。

他们总是能够“安装”不需要管理员访问权限的软件。许多软件不需要写入 Program Files 文件夹或进行任何系统范围的更改。尤其是那些只是 EXE 或“便携式应用程序”的简单应用程序。毕竟，您允许他们运行 EXE 文件，对吧？

如果他们真的不是管理员，并且没有 Program Files 或 Windows 的写入或修改权限，那么我敢打赌他们只是在运行简单的应用程序。有一个组策略设置允许您将允许的 EXE 列入白名单，但我在使用时要非常小心，因为它可能会使您的所有机器无法运行。