需要帮助锁定许多联网的公共计算机

Microsoft 提供了使用 GPMC 的组策略常见方案列表。这有一些模板策略，您可以在活动目录域中使用它们作为锁定机器的起点。根据您的描述，听起来您想要Multi-User模板。

场景概述

以下是场景列表以及典型的使用示例。

轻度管理

将此方案用于需要对其计算机进行大量控制的高级用户或开发人员。您还可以在组织中使用此方案，在该组织中，严格管理的桌面不为用户所接受，或者桌面管理被高度委托。与其他方案一起，轻度管理方案支持更高的安全性并促进用户体验的一致性，即使在不适合严格管理的桌面的情况下，这两者也是有益的。

Lightly Managed 场景具有以下特点：

• 是所有场景中管理最少的。
• 允许用户自定义大多数影响他们的设置，但防止他们进行有害的系统更改。
• 包括减少帮助台成本和用户停机时间的设置。
• 支持free-seating，这意味着用户可以坐在任何一台计算机前访问他们所有的资源、应用程序和数据，就像他们坐在自己的计算机上一样。这也简化了您的文件备份方案，因为用户的文件都存储在指定的文件服务器上。
• 通常有一组核心应用程序分配给用户或计算机，这些应用程序始终可用。用户还可以安装已经为他们发布的应用程序，他们可以选择安装这些应用程序。

移动的

移动场景与移动/笔记本电脑及其用户相关。此场景特别关注经常需要离线工作并偶尔与公司网络“重新同步”的断开连接的用户。

Mobile场景具有以下特点：

• 可供大部分时间不在办公室、使用低速拨号链接登录但偶尔也使用高速网络链接登录的用户使用。
• 也可供偶尔离开办公室并使用远程访问或远程网络链接登录的用户使用。
• 允许用户连续访问他们的数据和配置设置，无论计算机连接到网络还是断开连接。
• 部分支持free-seating（可以选择支持full free-seating）以方便集中数据备份并使用户能够从其他计算机访问重要数据和设置。
• 允许用户在不注销或关机的情况下断开网络连接。

多用户

在大学计算机实验室或图书馆使用此方案，用户可以在其中保存一些自定义设置，例如桌面墙纸和配色方案首选项，但不允许更改硬件或连接设置。

多用户场景具有以下特点：

• 允许对桌面环境进行基本定制。用户可以保存桌面配置，但不能自定义网络、硬件和系统设置。
• 支持自由坐席；用户可以登录任何计算机并获取他们的数据和设置。当他们离开时，计算机上不会保留任何缓存状态。
• 用户对本地计算机的写访问权限有限，只能将数据写入其用户配置文件和重定向的文件夹。
• 有一组始终可用（分配）的应用程序，以及可以根据需要安装和删除（发布）的应用程序。
• 是高度安全的。

应用站

AppStation 方案在您需要仅包含少数应用程序的高度受限配置时使用。在营销、索赔和贷款处理以及客户服务场景等“垂直”应用程序中使用此场景。

AppStation场景具有以下特点：

• 允许用户进行最少的自定义。
• 允许用户访问适合其工作角色的少量应用程序。
• 不允许用户添加或删除应用程序。
• 支持自由坐席。
• 提供简化的桌面和“开始”菜单。
• 用户对本地计算机的写访问权限有限，只能将数据写入其用户配置文件和重定向的文件夹。
• 是高度安全的。

任务站

当您需要专用于运行单个应用程序的计算机时，例如在制造车间、作为订单输入终端或在呼叫中心，请使用 TaskStation 场景。

TaskStation 场景与 AppStation 场景类似，有以下变化：

• 它只安装了一个应用程序，在用户登录时自动启动。
• 没有桌面或“开始”菜单。

亭

在公共区域使用此场景，例如在乘客办理登机手续并查看其航班信息的机场。由于计算机通常无人看管，因此需要高度安全。

Kiosk场景具有以下特点：

• 是公共工作站。
• 仅运行一个应用程序。
• 仅使用一个用户帐户并自动登录。系统会在每个会话开始时自动重置为默认状态。
• 无人值守运行。
• 是高度安全的。
• 操作简单，无需登录程序。
• 不允许用户更改默认用户或系统设置。
• 不将数据保存到磁盘。
• 始终打开（用户无法注销或关闭计算机）。

使用 Kiosk 场景的工作站类似于 TaskStation，但用户是匿名的，因为他们都共享一个在计算机启动时自动登录的用户帐户。这是通过以本文档稍后描述的方式修改 Kiosk 机器来实现的。无法进行任何自定义，也不会保留任何用户状态。

尽管用户会话通常是匿名的，但用户可以登录到特定于应用程序的帐户，例如通过 Internet Explorer 登录到基于 Web 的应用程序（假设 Internet Explorer 是启动时启动的“kiosk 应用程序”）。

专用应用程序可以是业务线 (LOB) 应用程序、托管在 Internet Explorer 中的应用程序或其他应用程序，例如 Microsoft Office 中可用的应用程序。默认应用程序不应是 Windows 资源管理器或任何其他类似 shell 的应用程序。Windows 资源管理器允许对计算机进行比适用于 Kiosk 计算机更多的访问。请确保命令提示符已禁用，并且无法从用于此目的的任何应用程序访问 Windows 资源管理器。

应仔细检查用于信息亭场景的应用程序，以确保它们不包含允许用户规避系统策略的“后门”。例如，它们不应允许用户访问访问文件系统的应用程序。理想情况下，您应该只使用符合“Windows 2000 应用程序规范”、经过 Windows 认证并且在允许用户访问禁止功能之前检查组策略设置的应用程序。较旧的应用程序通常不会感知组策略，因此请尝试禁用任何允许用户绕过管理策略的功能。

通过关联的策略设置，注册表项Run和RunOnce在 Kiosk 场景中被禁用。

我已经成功地将 pfsense 与 Dansguardian 结合用于 Internet 过滤。这是一个非常轻松的设置，这是一个免费选项。我没有设置白名单，但听起来这就是你想要的，这是 Dansguardian 提供的一个选项。

或者，您应该已经安装了某种防火墙，如果是这样，您可以使用特定于您的防火墙的过滤产品。

您有权访问这些机器的默认网关吗？如果是这样，你可以在 pfsense 中设置一个透明代理。如果没有，您可以使用组策略将 pfsense 盒子设置为代理服务器。

您应该安装防病毒软件。那将是设置应用程序限制的好地方。如果没有，您也可以使用组策略来设置它们。组策略不是尝试配置允许网站列表的最佳场所。您确实希望将代理和应用程序限制分开。