1.AD 只是一個手段
2.有一種東西叫免安裝
3. 這和你的裝機流程有差 給的本機權限等等之類的
4. 你只能多宣導 用 report 方式呈現給主管看 到時候出問題要究責時候各自部門自己扛

"電腦主機脫離 AD 控管" ........
這句話的意思是：

1. 解除網域身分，回到實際單機狀況？
2. 僅設備移動，設備身分還在網域狀況下？

如果是第一種，USER 當然可以安裝任何軟體，除非當時建立使用者帳號時，已設定好單機下僅為 USER 身分、非 Admin，那也是不能裝的

如果是第二種、而使用者也僅為 Domain User 身分，理論上應該不能裝，但網路上千奇百怪軟體都有，很難防止使用者發現什麼可以突破 Doamin User 權限，所以網域管理者都會繼續配合 GPO 的使用與管理，把使用者真正鎖定在 "USER" 權限，連 USB 功能都封鎖

這個問題和電腦有沒有在AD管理下沒有關係，而是一般有沒有設定/管控的這麼細。

line這些程式現在可以安裝，是因為他現在並不是安裝在傳統的program files folder下，而是直接安裝在user appdata 目錄中，有一些程式甚至是直接另用軟體封包，不用MSI package，你更本就無法透過MSI install policy 去管理。

我的解決方法是，在 user app data 目錄下，設定line 資料夾，並且設定權限，只允許admin寫入，這樣就解決了。

目錄在
C:\Users%username%\AppData\Local\LINE

變數資料夾位置
%appdata%/../local/line

另外，應用程式管理理論上都需要搭配端點管理平台，平常就要掃描在使用者的電腦上有安裝什麼東西，通常會有這些規範的公司都是有資安管理政策的，這時候把資安管理政策搬出來，把一兩個人頭拿來罰並公告，其他使用者就會乖乖的了。

1.Active Directory是目錄管理服務，你可以在Client受管狀態下指派一些GPO去限制或套用公司管理規則。
2.Line在Chrome上也可以安裝擴充功能，基本上若同仁在家工作，網路環境不受公司保護/控管可以存取很多本來禁止存取的資源是正常的。
3.若要實時監控或離線控管限制軟體使用，可以考慮一下常駐Client的端點管理軟體(例IP-guard、WinMatrix...等)，像某些防毒軟體也有限制的功能。

以上給樓主參考，謝謝

有種軟件概念叫做硬盤版本,不用安裝即可使用,目前大陸大部分網咖都是通過這種方式,為每一台電腦主機進行軟體和遊戲的更新,目測原理基本一致

這個問題我遇到過
不論是在ad掌控之下，又或者是脫離ad，只用本機user下

罪魁禍首就是microsoft store
他允許user可以安裝市集上所有的軟體，包括vpn等等
因為市集都是微軟認可的軟體，所以無需權限
除非是私人市集

作法有三種
第一個是從防火牆上面擋，把市集的服務deny掉，這個步驟比較快，除非沒防火牆
第二種是從gpedit.msc上面→使用者設定→系統管理範本→windows元件→市集→關閉microsoft store應用程式，變成要一台一台改，如果是ad環境之下就快多了。
第三種是去github上搜尋Debloat-Windows-10，讓它直接移除掉microsoft store
也可以搜尋關鍵字　"windows10 消腫＂