最佳实践：我是否应该始终为新员工安装新的操作系统？

我对此有上级的争论。尽管乍一看，以前使用笔记本电脑的用户只能在自己的文档文件夹中工作，但我应该总是为下一个用户安装新的OS还是删除旧的配置文件？下一个用户通常也需要安装的软件。

我认为需要安装，但是除了我自己关于病毒和私有数据的说法之外，还有什么原因呢？

在我们公司，允许将PC用作私人邮件，在某些PC上甚至安装了游戏。我们有一些移动用户，他们经常在客户现场，所以我并没有真正责怪他们。

也因为如此，我们有很多本地管理员。

我知道私人使用和提供本地管理员帐户都不是一个好主意，但这就是我在这里工作之前的处理方式，只有当我退出培训后，才可以更改此方式；）

编辑：我认为发布的所有答案都是相关的，而且我也知道我们公司中的一些实践并不是一开始的最佳方法（例如，对于太多人而言，本地管理员；）。

到目前为止，我认为讨论的最有用答案是莱德的答案。虽然他在他的回答给的例子可能被夸大，它已经发生过，一个前雇员忘记的私人数据。我最近在旧笔记本电脑上找到了《逃亡》游戏的零售版，我们也有几箱还剩下私人图片。

绝对应该。这不仅是安全POV的常识，还应作为商业道德问题加以实践。

让我们想象一下以下情形：爱丽丝离开，她的计算机被转移到鲍勃。鲍勃不知道，但是爱丽丝陷入了非法的Shota色情之中，并在她的个人资料之外留下了一些文件。IT清除了她的个人资料，仅删除了她的浏览历史记录和本地文件。

有一天，鲍勃坐在星巴克咖啡店里，一边喝着拿铁咖啡，一边在闪亮的新工作机上检查一下钟声。他偶然发现Alice的缓存，无辜地点击了一个看起来很奇怪的文件。突然，当鲍勃的PC满载所有州和联邦法规时，商店里的每个人都惊恐地看着。角落里的一个小女孩开始哭泣。

鲍勃愧。在经历了六个月的沮丧之后，他因无意中的公共in亵行为（以及可能的刑事指控）而被解雇，他发现自己确实是一支严厉的法律团队，并以残酷破坏性的诉讼浪费了他的前雇主。爱丽丝在泰国，免于引渡。

也许所有这一切都显得有些苍白，但如果您不花时间去调查前员工的每一项行动，那绝对有可能发生。或者，您可以节省时间，然后从头开始重新安装。

您绝对应该重置/重新安装计算机。上面可能存在恶意程序，这将使企业面临风险。这些可能是病毒或特洛伊木马，或者是前员工故意留在这里的东西（并非所有人都过得很好）。@axl答复中的所有原因也都有效。

为了使您的生活更轻松，请为已经安装了所有常用软件的新安装的计算机创建快照/图像/备份，然后将其推送到每台新计算机或回收计算机上。无需手动重新安装。

我不是IT管理员，但我认为您应该出于以下几个原因重新安装：

• 本地管理员可以拥有先前用户文件的所有权。

• 您不太可能需要处理由旧用户进行的系统更改引起的问题。

• 旧用户的个人应用程序仍将在程序文件中可用。

如果您没有本地管理员，并且他们实际上不能更改或访问其主文件夹之外的任何内容，那么我就不用担心，但是总有磁盘空间需要考虑。

您是否考虑过使用Ghost或其他映像系统，而不是手动安装所有软件？

如果您处理的所有计算机都是相同的（或有几组相同的计算机），请进行一次全新安装，更新操作系统并安装用户所需的基本软件。然后创建一个HDD映像，如果将计算机重新分配给其他用户，HDD故障，病毒感染等，您可以从中还原系统。

您要做的就是从磁盘映像还原“全新安装” HDD内容，并在需要时更改Windows产品密钥。

如果要使用取证工具防止用户使用HDD，请在HDD上使用数据粉碎工具（例如，大多数Linux发行版中可用的shredding工具），然后再将数据从映像还原到其中。通过大约一个小时的工作，您甚至可以准备一个实时USB，该USB将切碎HDD，然后用图像中的数据重新填充它。

这样，您可以节省很多工作，同时仍然可以保护用户和公司的数据。

这错过了最佳答案……写下您的硬件作为业务成本，然后当有人离开时给他们笔记本电脑并购买一台新的干净笔记本电脑；这样可以节省最多的时间，是实现工作与生活平衡的一种积极方法。当然，如果他们只在那里呆了几周，那么最好重设一下。

我在未重新映像的PC上将病毒传播给新用户方面有个人经验。（而且不需要的文件会延长用户的工作时间，但这完全是另外一回事了。）

正如Ushuru所指出的，最佳实践是重新映像而不是重新安装。（是的，您需要sysprep，但并非像TesselatingHector所说的那样是因为SID。）它们不必是相同的硬件。您可以在映像中包含各种驱动程序，甚至可以离线添加新的驱动程序（如果映像是.wim）。

台式机部署软件在整个 市场 领域都有，我也看到人们使用备份软件并恢复专门的“备份”映像来完成自己的过程。

或者，如果您碰巧喜欢安装操作系统，则可以重建系统。;）我很容易感到无聊，并且喜欢自动化。

答案实际上取决于您是否允许员工成为自己计算机的本地管理员。

通常，用户组帐户仅在其自己的配置文件目录中具有写权限，而在硬盘驱动器上则没有其他权限。

在这种情况下，用户无法对系统进行任何更改，包括安装或删除应用程序，或在其配置文件目录之外创建隐藏的文件或目录。

恶意软件可能会自行安装，但同样只能安装在该用户的配置文件中，通常是在AppData或Temp中。

对于这些受限用户，新帐户将完全与旧用户配置文件中的帐户断开连接。

我什至从未梦想过在没有硬盘擦除的情况下将二手PC交给新员工。如果您想相当安全，请完全更换硬盘驱动器。

根工具包非常强大。操作系统和病毒扫描程序不知道根工具包，因为它们安装在较低级别（它们实际上是在加载操作系统并向操作系统提供基本信息（例如硬盘驱动器上的内容），因此它们可以非常有效地对自己隐藏。操作系统）。有些人甚至将自己安装到硬盘驱动器的BIOS中，这使其很难摆脱。

少数几个可以将它们自己安装在PC的BIOS中，并在安装新硬盘后重新感染它们。

如果有不满甚至具有轻微黑客技能的不满员工真的希望他们将计算机退还给您，即使硬盘“重新格式化”后，该计算机也会反复破坏您的网络。一个好的人可以做到这一点，从而即使更换硬盘也无济于事。

一个真正有天赋的黑客雇员可能会使用以下技术之一来无限访问内部网络系统和数据。在将来的任何时候，他都可以从外部重新连接-这种方式几乎是您无法停止的（因为受感染的计算机可能偶尔会退出并绕过所有防火墙安全性）。

幸运的是，真正有才华的人可能要做的事比为您的公司工作要好。

James说“离开时将计算机交给员工”的答案现在听起来应该不错，但实际上，只是拉动并粉碎HD。