看公司政策跟使用者習慣。

就算給user權限，會中毒的還是會中毒。
而且有些毒跟木馬程式，都要登入原本帳號才能清乾淨。
登入該帳號沒admin權限，還要重登給他admin權限，處理問題剛關閉admin。

有時這樣來回搞真的有點麻煩。

你的問題
NTFS權限改一改就可以了

我會看公司軟體購買的狀況來決定, 如果公司版權買的夠, 當然不給管理者帳號, 免得裝一大堆有的沒的以後還要去清.
如果不夠, 就當作不知道隨便他們玩.
C根目錄無法正常存取, 就請他們存D槽吧!!
至於中毒這件事嘛. 會中的就是那幾個人, 多注意一下就好..

基本上用users權限已足夠，folder沒有寫入權限可以個別set right或叫用戶寫進my document, 返之有些軟件可能要給power user權限才能使用

之前公司是一般User不給，只有大頭跟特定的一些User因為作業需求上會有需要，再依等級給予到Power User 或是local admin，但是現在這個小公司 是不管怎樣 所有User都有local admin權限 真的是快搞死我了。

我們是本機權限給一給
說真的中毒的機率也不是很高
不過有時候這些都是運氣問題

這本是難題！也是蠻多公司mis/IT人的問題所在。（me too)
若說公司政策，只能使用user權限，則必須有相對的配套措施，
才能得以真正的執行「只有user權限的作業環境」；否則，
光是一些正常且必要使用的軟體(如Adobe Reader、Adobe Flash Player、
JAVA...)，必須要做更新；但那不是Domain Admin所派送的，
所以執行時，需要Local Admin權限才能安裝；
如果，既要施行User權限的環境、也要保持軟體保持最新的修正
狀態，是會很耗工；甚至有人就犧牲這些小軟體的更新（保持不變），
到時候，有大問題時，再一台一台地安裝更新程式。
如果公司一定要做且真正支持 user 權限環境且派送必要的
軟體更新，（據了解，也找了很久）LANDesk 是一個不錯的系統與可行的方案，
可供參考；
此可以兼得其效果，且容易一次性地收回pc端的權限。
否則，又要方便、又要怕使用者因local Admin權限亂安裝軟體，
造成問題，事後才發現（未來，尤其在APT持續侵害下，一定來不及），
幾乎是不太可能的。其結果苦的通常是IT人。
所以，這問題，可能要看時機，持續給上級反應此事的重要性，
不只是人力支援的問題，而是問題的反應；且把嚴重性告知公司。
如此善盡告知義務，再來，責任就在公司與上級身上了。

我的做法是「不給」
主要是users不需要
而小軟體的更新也沒有執行的必要

至於必要性軟體安裝與修改
這不可能常常發生
要真的常發生
那就是規劃有問題
請自行檢討
如果環境很大
就當成去各部門找人聯絡感情

個人認為
都已經叫「管理員」了
有些事還是要自己動手

我公司都是只有給domain users 權限
基本上C根目錄無法正常寫入，這個應該沒甚麼關係(我本身的環境下)，因為給予user本機管理者權限，就有亂裝軟體的可能性，這樣對MIS維護上會有一些困擾@@

以上小弟淺見

這問題不論如何都會有兩種答案:給或不給。或許"看情況或看老闆決定"可能是比較討好，但這種答案 '有跟沒有答' 不是一樣! 因為沒人知道版大公司的真實情況。

我也同意榮哥的說法(我司也是這樣)，這在管理上較方便，且不光是亂灌軟體，中毒、得木馬...的可能性都會大增，好好考慮一下吧~

其實，給了權限，平常或許事情可以少一些，但一有事可能就是大事(如中毒...)，處理起來較棘手。但不給權限，只是常常會聽到有人罵，或誰誰誰要裝什麼或電腦有問題要幫忙處理，雜事會變多，但難處理的應該較少，看管理者是偏好哪一種。當然，這些都不算主管級(尤其是高階)常常跑來囉嗦東囉嗦西的抱怨，這種不管給不給權限都會有的啦...

提供參考吧~

我前一個工作，只給 USER 權限，使用者需要安裝什麼軟體，需寫申請單向資訊經理申請(即使連 SKYPE 這類軟體也一樣)，由經理考量他是否真有需要，
這是公司既有資安政策，行之多年，也不會有人抱怨
至於所說的更新，其實絕大多數都不用隨時，半年一年全部一次更新就好了
(另 該公司有架設 WSUS )

進來這個公司，發覺開給每個User Local Admin 權限，頗覺訝異,
當初因為沒有特定的IT負責人，是由某些技術人員兼任，而該些人員經常要出差，所以有這種作法，理解後也知道只能如此
但後來找了一個專責的IT主管，他仍保持此模式，好吧，不想做大幅改變，其實也無可厚非，但讓我驚訝的是， 有一次與該主管聊天，他說，其實用 WorkGroup 還比 AD 好管理，一整個無言.....

我的作法是畚箕給最高權限
但是登入網域後全面控管
如果不登入網域
連上網打資料都不行
每個單位都給自己單位應該有的權限
要安裝程式可以
但是不能移除
凡是亂安裝被我抓到的全部都給警告單