五、只给User权限
　　为了防止客户端随意安装软件，有必要对客户端的权限进行相应的设置，无论是工作在域环境还是工作组环境，分配给终端用户使用的帐户，建议只给User组权限，从而让用户无权安装软件。
  

图 5

　　使用过这一招的朋友一定知道，只给User权限之后，有些程序会不能运行或者运行后会有这样那样的问题，这时NTFS权限就派上用场了。将不能运行的程序目录设置为用户“完全控制”，大部分情况下问题就会得以解决了。

图 6

　　不过这样之后，也不能保证所有的程序都可以正常运行，可能会有极个别对运行权限非常苛刻的程序不能运行，这样的话，最多给用户划分到Power Users组，这样即使用户安装软件，也不会对系统文件造成影响。

　　总之，对于用户帐户该归哪个组的问题，要坚持不给管理员组的权限，从而尽可能的保证系统的安全。