"Elvben igazad van, de majdnem mindenhol van kiskapu"
Kár a sportért. Egy normálisan konfigurált AD tartományban, ahol mindent group-policy-ből kap a user, és előre konfigurált image-eket terítenek, ott esélytelen a mezei user bármi más telepítésére. Ami nincs benne az előre gyártott image-ban, vagy nem telepíti külön az admin, az nincs. Pendrive/floppy/stb ilyen helyeken alapból kizárt.
Ha olyan a policy, akkor még futtatni is csak azt a 2-3 programot tudja, aminek az ikonját kirakják a desktopra, és a lokális diszkből semmit nem lát, csak a számára felmappelt hálózati meghajtót.