使用组和用户隔离不放心应用

1.添加用户

win+R输入netplwiz

添加->不使用Microsoft账户->本地账户->名称密码

选中新建用户->属性->组成员->其他->Guests

高级->高级用户管理->高级->新建组A->添加到组

2.磁盘分卷与锁定

右键桌面下左下角win图标，选择磁盘管理，选中F盘，右键->压缩卷，压缩出50GB空间。

右键新分区->建立简单卷，命名为S（share）

打开此电脑,C盘中有系统管理，不用动（不要在C盘存文件）,分别在D、E、F盘上右键

（移动硬盘也可以弄）->属性->安全->编辑->添加->添加组A->拒绝项拉满

S盘只允许组A读取和执行、列出文件夹内容、读取（参考的C盘）

3.powershell

管理员模式打开powershell ISE

输入

set-ExecutionPolicy RemoteSigned

允许本地运行脚本

$cred = Get-Credential

输入账号密码

$cred.Password | ConvertFrom-SecureString | Set-Clipboard

把处理后的密码复制到剪贴板。

在S盘中新建一个.ps1文件，输入

$password = '剪贴板密码串'

$cred = [pscredential]::new('用户名', ($password | ConvertTo-SecureString))

Start-Process powershell -ArgumentList "-NoExit", "-Command {`$env:__COMPAT_LAYER = 'RunAsInvoker'}" -Credential $cred -LoadUserProfile

即，以那个用户的身份打开powershell

然后你就可以通过它来操控文件了(右键，通过powershell运行）。

具体命令可以查，一般就用{& 然后拖拽文件到窗口}来表示执行它，比如

& S:\share\chrome.exe

这样你就可以隔离运行可疑应用了（连魔法都可以隔离哦）。

此外，你还可以在身份下面添加

Start-Process powershell -ArgumentList '-Command Invoke-Item S:\share\e.lnk' -Credential $cred -LoadUserProfile -WindowStyle Hidden

来直接启动相关应用，你还可以在网上查找{双击运行ps1文件}来实现与通常应用完全一样的效果哦。

另外要注意的是，如果你想用其他身份运行edge等应用，直接安装是没用的，你用

Start-Process powershell -ArgumentList '-Command Invoke-Item S:\share\e.lnk' -Credential $cred -LoadUserProfile -WindowStyle Hidden

其中e.lnk指向

"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe"

就可以了。