不要在Windows XP或更早版本下给他们“超级用户”,因为它实际上与“管理员”相同(从“高级用户”到“管理员”非常非常容易).

没有“管理员”权限对于Microsoft Office来说没有问题.对于具有“Designed for Windows XP”或更新的徽标标牌的任何应用程序(因为作为有限用户运行是徽标要求的一部分),这应该不是问题.您有责任确保其他应用程序正常运行,但在确保应用程序运行与清理垃圾PC之后的时间权衡是值得的.有一些工具可以帮助你.一个伟大的是Aaron Margosis“LUA Buglight”(见http://nonadmin.editme.com/LUABuglight).

如果您发现需要应用安全权限更改以使某些程序起作用,请查看使用组策略的文件系统安全设置进行脏操作(假设您在AD域中).然后,至少,您可以了解需要设置一次的权限,并让组策略在新计算机上一致地重新应用它们.

如果您还没有这样做,请将用户数据从PC上移到服务器计算机上.查看使用“文件夹重定向”和漫游用户配置文件来帮助您(假设您再次使用AD域).理想情况下,PC应该是无状态的,用户可以起床,登录到另一台PC,并拥有所有可用的数据文件. (可用的应用程序软件是另一个故事,但是对于软件安装策略也有一个“故事”.)我不会在这里讨论这些项目的大链接,只是为了保持这个答案.

如果您确实想要阻止不需要的第三方软件,并将“管理员”权限与用户保持一致,则可以考虑使用“软件限制策略”(请参阅​​http://technet.microsoft.com/en-us/library/bb457006.aspx和http://technet.microsoft.com/en-us/library/cc782792(WS.10).aspx).使用软件限制策略后,非管理员用户无法在允许的路径之外执行代码(或基于数字签名).安装在每个用户位置(以及该类型的恶意软件)的谷歌浏览器等功能甚至无法运行.这是一个很棒的功能,可以说是最不充分利用的功能之一.