要從幾個方向回答
第一，將所有的電腦加入網域
第二，將用戶端的電腦的admin帳戶改密碼成為IT人員自訂的(不開放給用戶使用)
接下來才是從AD著手
第一：分別建立所有用戶的個人帳號(權限=網域中user的帳號，也就是說複製user帳號來建立即可)只要用戶使用這樣的帳號來登入網域，就沒辦法自己安裝軟體了
接下來的都是GPO中設定
第一：設定登入後執行的程式

第二：設定螢幕保護程式喚醒時需要密碼

另外補充，若要一登入網域帳號後，就執行(IE or Firefox、Outlook)，就得用logon script。

目前每個User的網域帳號都是administrator，我應該設定成哪種類型呢??

哇，要是弟是貴公司員工，那我就是神了，愛做啥就做啥，每個人網域帳號您確定都是Administrator?還是只是本機帳號是Admin?如果每個人用網域登入都是ADMIN，那您要有心理準備......祈禱大家都是電腦白癡......

基本上我們公司本機帳號只留ADMIN，且不給使用者知道密碼，統一使用網域帳號(建立每個人的帳號密碼)，且只給User權限，並沒給poweruser權限，但是因為電腦少，所以管理還好，如果電腦多，可以考慮給poweruser權限，會比較省事一點。

其它的tom6507大大都教了，保重.....

哇靠 administrator太嚴重了啦…每個人都是伺服器管理員…XD

知道要改變是一件很好的事，肯開始就不嫌晚！

某公司規模很大，全球約3000台PC，但是幾乎全部都是Local Administrator，
去年才開始著手進行降權限、標準化的工作，難度遠比你公司高很多！

Group Policy能做的事很多，多往這裡鑽研就對了！

你要將本機的administrator的權限回收回來，然後在AD上建立每個使用者帳號這些帳號給Domain User帳號便行，之後再請USER用這些各自的帳號登入，他們就不會有這麼大的權限了，其它的就如Tom6507所教的方式便能解決。