Новые Учетные записи пользователей имеют “Слишком много” Windows 7 Ultimate Edition SP1 x64 полномочий

Я запускаю Windows 7 Ultimate Edition SP1 x64 (Сборка 7601) в режиме WORKGROUP (Non-NT_Domain, Не среда ADDS). Я - Администратор этих машин и Сети. Моя установка является только несколькими компьютерами (4x общее количество, больше планируется, хотя) все настроили с теми же/подобными настройками на локальной LAN + Ограниченный доступ в Интернет filtered/firewalled через другую пользовательскую машину устройства маршрутизатора "WRT-выхода" Не-Windows, ничто не полагает, главным образом настройки OOBE по умолчанию до сих пор, никакой Локальный GPOS (все же... Ожидая), Ограниченная политика Выполнения Сценария Powershell, контроль учётных записей до Max, Значение по умолчанию Брандмауэра (обработанный в другом месте), Отключенная Учетная запись Администратора.

Каждый компьютер имеет многопользовательские учетные записи и одну учетную запись "БОССА", которая является членом группы локальных администраторов. Проблема, которую я имею, - то, что Пользователи (некоторые из них подростки... вздыхают.) имеют по умолчанию, Слишком много доступа к компьютерным настройкам включая log-files/.log/.config files/WMI/CIM-Cmdlets/MMC/Powershell.exe/netsh.exe/CMD и т.д...

Для усугубления положения (По крайней мере, от того, что я могу наблюдать/понимать, который я нахожу срывом) Windows очень permissively "Предполагает", что каждый новый пользователь, которого я создаю, является теперь новым "Владельцем" Машины: (Для разъяснения, что я имею в виду, например, последнего пользователя, который изменяет Сон/Параметры питания или интернет-Настройки-> Настройки Прокси в CP, например, затем те настройки применяются Глобально и "липкие", пока некоторый другой Педераст не изменяет их. Независимо от погоды я установил его с помощью СВОЕЙ Учетной записи Администратора/Босса),

Один противный Пользователь однажды изменил Домашнюю страницу IE на сайт шокера http://www.b*ttl3guy.com. Другой умный Пользователь Получил доступ к Истории Просмотра других Пользователей и получил доступ к ее электронной почте через отрывок сценария Powershell, который он скопировал и вставил в то, что Синяя Консоль Окна PowerShell (Даже с набором исполнительной политики к Ограниченному, который по-видимому только предотвращает выполнение через файлы). Почему является WMI чувствительной sys-информацией, подбирающей позволенный всем пользователям по умолчанию? AFAIK, по крайней мере, на большинстве *Отклоняют системы, даже Bash по умолчанию не позволил бы ерунды Обхода Файла/Dir рядовым пользователям. Плюс, можно ограничить Оболочки, доступные пользователям, и устанавливать пределы для вещей как позволенные Процессы Max, также система шаблона Skel. Извините, я остановлю Избиение Windows... Пользователям, по-видимому, нужен их Тростник Леденца Аэро Рабочий стол и mIRC и что-то названное Усилителем Победы так... (Действительно ли GroupPolicy является лучшим способом установить эти пределы?)...

Я понимаю, что это главным образом мои собственные недоразумения и Экспорт Не-Windows. Я просто нахожу *Нельды так или иначе легче приручить...

Теперь я мог отключить CP через локальный gpedit.msc для не Администраторы, но, затем Пользователи могут просто обойти это ограничение, я уверен использование Win + R или Запускаюсь-> cmd, %Windir %/System32 / *.cpl или Powershell и т.д...

Моим вопросом является банка, я установил Windows на, по умолчанию предполагаю, что каждый Новый Пользователь, которого я создаю, является Злым Злонамеренным Террористом от Ада а не Новым "Владельцем" Машины (позволяющий изменять Настройки/Прокси Питания и т.д....)?

Я, может казаться, не нахожу хороших статей, которые не включают AD Домен

Моей целью является система, где по умолчанию, новые Пользователи, которых я создаю, НЕ могут произвольно:

• Изменитесь/Получите доступ Настройки CP
• CMD доступа, MMC, Powershell (я понимаю Powershell.exe, не являются на самом деле преступником, предоставляющим пользовательский доступ, это - встроенный.Net Frame-Work),
• Просмотрите Application/System/или Любые другие Журналы
• Доступ WMI или Подбирает Системные/Другие Пользовательские файлы/журналы
• CTL-ALT-Delete-> TaskManager
• Просмотрите/Пересеките Другие Каталоги не в их "C:\Users\Little-Rugrat" Дыре Голубя
• Запустите тысячи процессов
• Заполните HD байтами мусора как порно/файлы/случайность

* полицейское состояние по существу * :P

Я понимаю, что Локальная Групповая политика могла, вероятно, выполнить все это, но не требование Доменной Инфраструктуры, не масштабируется хорошо здесь. Я должен был бы стать "Сетью Интерна" и применить каждого GP к каждому ПК и поддержать Синхронизацию... (Я не понимаю, как Администраторские Шаблоны работают. Я все еще исследую это на Technet. (.ADM.ADMX.INF.INI.POL, Который???). Кто-либо имеет хороший образец одним удобным или связывается с хорошими Документами об этом?)

Или возможно GPO FOSS "Толкатель" я не знаю...?

Любой help/info/comments/pointers/examples/sample-configuration-files очень ценился бы.:)

P.S.: у Меня есть главным образом только предыдущий Администраторский опыт Unix/Sun-OS/Solaris/Fedora/GNU-Linux. Извините за любую неправильную/неправильно используемую Терминологию Micro$oft.

P.P.S.: Я Администраторская Система для маленькой молодежи центрируюсь без большого бюджета для Установки Раздутого программного обеспечения MS-Domain/Server-ADDS.

Я действительно пытаюсь придерживаться K.I.S.S. Принципал...

Слова благодарности,

и Приветы.

Wendy P. Marshall