Новые учетные записи имеют привилегии "слишком много" Windows 7 Ultimate Edition SP1 x64

Я использую Windows 7 Ultimate Edition SP1 x64 (сборка 7601) в режиме WORKGROUP (не-NT_Domain, не ADDS). Я являюсь Администратором этих машин и Сети. У меня всего несколько компьютеров (всего 4х, хотя планируется больше), все из которых настроены с одинаковыми / похожими настройками в локальной сети + Ограниченный доступ к Интернету фильтруется / перебрасывается через другую нестандартную машину маршрутизатора "WRT-ish", отличную от Windows, ничего особенного, в основном настройки OOBE по умолчанию, пока нет локальных объектов групповой политики (пока... в ожидании), политика выполнения сценариев с ограниченным использованием Powershell, UAC до Max, по умолчанию Firewall (обрабатывается в другом месте), учетная запись администратора отключена.

Каждый компьютер имеет несколько учетных записей пользователей и одну учетную запись "BOSS", которая является членом локальной группы администраторов. Проблема, с которой я сталкиваюсь, заключается в том, что пользователи (некоторые из них - подростки... вздыхают) по умолчанию имеют Слишком большой доступ к настройкам компьютера, включая файлы журналов /.log /.config /WMI/CIM-Cmdlets/MMC/Powershell.exe/netsh.exe/CMD и т. Д...

Что еще хуже (по крайней мере из того, что я наблюдаю / понимаю, что я нахожу разочаровывающим), Windows очень благосклонно "Предполагает", что каждый новый пользователь, которого я создаю, теперь является новым "Владельцем" Машины: (Чтобы уточнить, что я имею в виду для Например, последний пользователь, который изменяет Настройки сна / питания или Настройки Интернета -> Настройки прокси-сервера в СР, например, затем эти настройки применяются глобально и являются "липкими" до тех пор, пока какой-либо другой Bugger не изменит их. Независимо от погоды я установил их через MY Admin/ Босс аккаунт)

Один раздражающий пользователь однажды изменил домашнюю страницу IE на http://www.b/*ttl3guy.com shocker-site. Другой умный пользователь получил доступ к истории просмотров других пользователей и получил доступ к ее электронной почте через фрагмент скрипта Powershell, который он скопировал и вставил в эту консоль PowerShell Blue-Window Console (даже если для exec-policy установлено значение Restricted, которое, по-видимому, только препятствует выполнению через файлы). Почему чувствительная к WMI системная информация по умолчанию разрешена для всех пользователей? AFAIK, по крайней мере, в большинстве систем *Nix, даже BASH по умолчанию не допускает никакой ерунды File/Dir Traversal для простых пользователей. Кроме того, вы можете ограничить доступ к оболочкам для пользователей и установить ограничения на такие вещи, как максимально допустимые процессы, а также систему шаблонов Skel. Извините, я остановлю Windows-избиение... Пользователям, очевидно, нужны их Candy-Cane Aero Desktop и mIRC и что-то, называемое Win-Amp, так что...(GroupPolicy - лучший способ установить эти ограничения?) ...

Я понимаю, что это в основном мои собственные недоразумения и не Windows Exp. Я просто нахожу *Unices как-то проще приручить...

Теперь я могу отключить CP через локальный gpedit.msc для не администраторов, но тогда пользователи могут просто обойти это ограничение. Я уверен, что использую Win + R или Start -> cmd, %Windir%/System32/*. Cpl или Powershell. так далее...

Мой вопрос заключается в том, могу ли я установить в Windows, по умолчанию, предположить, что каждый созданный мною новый пользователь является злым злостным террористом из ада, а не новым "владельцем" машины (позволяющим изменять параметры питания / прокси-сервер и т. Д.)?

Я не могу найти какие-либо хорошие статьи, которые не связаны с AD-доменом

Моя цель - система, в которой по умолчанию новые пользователи, которых я создаю, не могут произвольно:

• Изменить / Доступ к настройкам CP
• Доступ к CMD,MMC,Powershell (я понимаю, что Powershell.exe на самом деле не является преступником, дающим пользователям доступ к встроенной.Net Frame-Work)
• Просмотр приложения / системы / или любых других журналов
• Доступ к файлам / журналам WMI или Glean System/Other Users
• CTL-ALT-Delete -> TaskManager
• Посмотреть / пройти другие каталоги, которых нет в папке "C:\Users\Little-Rugrat" Pigeon Hole
• Запустить тысячи процессов
• Наполните HD с мусорными байтами, как порно / файлы / случайность

* Полицейское государство по существу *: P

Я понимаю, что локальная групповая политика, вероятно, могла бы выполнить все это, но без необходимой доменной инфраструктуры, не будет хорошо масштабироваться здесь. Я должен был стать "Intern Net" и применять каждый GP для каждого ПК и поддерживать синхронизацию...(Я не понимаю, как работают шаблоны администратора. Я все еще исследую это на Technet. (.ADM, .ADMX, .INF, .INI, .POL, какой???). У кого-нибудь есть хороший образец под рукой или ссылка на хорошие документы по этому поводу?)

Или, может быть, FOSS GPO "Pusher", о котором я не знаю...?

Любая помощь /info/comments/pointers/examples/sample-configuration-files будет принята с благодарностью.:)

PS: У меня в основном только предыдущий опыт работы с Unix/Sun-OS/Solaris/Fedora/GNU-Linux Admin. Извините за неправильную / неправильно использованную терминологию Micro$oft.

PPS: I Admin System для небольшого молодежного центра без большого бюджета для установки Bloatware MS-Domain/Server-ADDS.

Я действительно пытаюсь придерживаться принципала KISS...

Благодарю вас,

и приветствия.

Венди П. Маршалл