我所在的组织使用 Faronics Deep Freeze 来阻止用户对计算机进行更改。我一直认为标准用户(仅是“用户”组成员的用户)不能进行任何系统范围的更改。该组的描述如下:
用户无法进行意外或故意的系统范围更改,并且可以运行大多数应用程序
这里的高级系统管理员告诉我,这在实践中并不适用。举个例子说明这不适用的地方是什么?标准用户在 %USERPROFILE% 或 HKCU 之外是否具有任何写入权限?
答案1
是的,默认情况下,标准用户可以访问很多内容。大多数(如果不是全部)问题都可以通过策略来解决,但我完全可以理解为什么人们最终会使用深度冻结类型的解决方案,事实上,非持久性映像是 VDI 解决方案的卖点。
根据是否启用 UAC,用户可以访问和修改本地驱动器上的文件、安装应用程序(尽管通常是他们自己的配置文件)、运行病毒或恶意软件等等。
需要澄清的是,默认情况下,标准用户的安全性远远不够,无法在需要对用户进行严格控制的环境(例如学校、公共站点等)中使用。
如果我错了,请纠正我,但我不认为 Deep Freeze 是为了保护特定的会话,而是为了防止变化发生?