小编pok*_*oke的帖子

我们的一位远程 Windows 7 专业版用户刚刚报告说他收到了 Windows 10 的升级预订优惠。在他的系统托盘中运行的Get Windows 10“应用程序”似乎是合法的。到目前为止，这似乎只是针对未加入域的设备。

除了卸载/隐藏启用升级的 Windows 更新之外，有没有办法禁用升级应用程序（当然还有升级本身）？

在我工作的办公室，其他三名 IT 员工始终使用域管理员组成员的帐户登录他们的计算机。

我非常担心以管理员权限（本地或域）登录。因此，对于日常计算机使用，我使用一个只有普通用户权限的帐户。我还有一个不同的帐户，它是域管理员组的一部分。当我需要在我的计算机、其中一台服务器或另一个用户的计算机上执行需要提升权限的操作时，我会使用此帐户。

这里的最佳做法是什么？网络管理员是否应该始终以对整个网络的权限（或者甚至是他们的本地计算机）登录？

我们经常遇到的一个问题是，我们用来构建主映像的计算机的硬盘驱动器可能比某些目标系统的驱动器大。众所周知，Clonezilla 不会将磁盘映像放在较小的驱动器上。

除了找到一个比我们所有目标系统更小/一样小的物理驱动器之外，我还使用这种方法来解决我们的问题：

1. 准备好主计算机后，使用 gparted 缩小分区，以便它们都适合较小尺寸的磁盘。
2. 创建具有目标大小的硬盘驱动器的 VM。
3. 通过在 VM 上安装目标操作系统的副本，在 VM 上创建正确的分区。
4. 使用Clonezilla 中的保存/恢复分区功能将每个分区从主计算机复制到 VM。
5. 创建 VM 的映像。将此映像用作计算机映像的黄金大师。

有没有办法在克隆之前使用 gparted（或其他程序）来调整主驱动器的大小？我知道如何调整单个分区的大小，但如果我能做些什么让 Clonezilla 认为原始驱动器更小，那将非常非常方便。这样我就可以使用恢复磁盘功能来制作一个对于所有目标系统来说都足够小的映像。

由于各种问题，在我们的情况下，直接在 VM 中构建主映像是不可行的。

在研究防止CryptoLocker 的方法时，我看到一个论坛帖子建议使用组策略对象(GPO) 和/或防病毒软件来阻止以下位置的运行访问：

1. ％应用程序数据％
2. %localappdata%
3. %temp%
4. ％用户资料％
5. 压缩档案

显然，在论坛上写的任何东西都应该谨慎对待。不过，我确实看到这样做的好处，主要是因为恶意软件喜欢在这些位置之外执行。当然，这也会影响合法程序。

阻止对这些位置的运行访问有哪些缺点？

有哪些优势？

在有线网络上处理不受信任的设备有哪些好方法？以下是我正在考虑的几个例子：

1. 一位公司老板定期带上他的笔记本电脑并插入网络。

2. 用户携带笔记本电脑或其他设备并出于任何原因插入，但不是故意恶意的。

3. 笔记本电脑来自可能有病毒但需要连接以获取更新等的领域。

我们所有的普通设备都使用静态 IP。我的一个想法是关闭我们工作子网上的 DHCP，然后使用 DHCP 设置创建第二个子网以在其上设置服务器 IP。基本上，我们最终会在同一个物理网络上运行两个子网。这个想法是任何不受信任的设备都会从 DHCP 获取 IP，从而将其置于不受信任的子网中。