两套完整方案：阻止学生私自安装 Workspace 教师端（安装必须密码）

方案一：Windows 系统全局管控（所有软件安装都要管理员密码，推荐教室终端批量部署）

1、账户基础改造（核心）

2、组策略强制安装输入管理员密码（所有安装包生效）

1. Win+R 输入 gpedit.msc 打开本地组策略编辑器
2. 路径：计算机配置 → Windows 设置 → 安全设置 → 本地策略 → 安全选项
3. 找到：用户帐户控制：管理审批模式下管理员的提升提示行为
4. 双击修改为：提示凭据，确定保存
5. 重启电脑生效

3、进阶：彻底禁止普通用户安装软件（双重防护）

方案二：H3C Workspace 平台原生配套管控（针对教师端 / 学生端专属限制）

1、开启客户端卸载 / 安装密码校验（平台后台设置）

1. 修改终端管理密码（自定义强密码，不要默认Password@1234）H3C
2. 勾选开启 客户端卸载确认
   作用：卸载 / 重装 Workspace 全系列客户端（教师端、学生端）时，强制输入终端管理密码，学生无密码无法覆盖安装教师端。

2、通过云桌面下发镜像统一管控（机房批量最优）

1. 标准学生镜像只预装学生端，不内置教师端安装包；
2. 镜像锁定系统权限，学生账户为标准用户，无管理员权限；
3. 禁止学生私自拷贝教师端安装包到本地运行。

3、AppLocker 精准拦截教师端安装包（只锁教师端，不影响学生软件）

方案三：简易单台电脑快速设置（无域、机房零散机器）

1. 学生账户改为标准用户，取消管理员权限；
2. 给 Administrator 管理员设置复杂密码，仅老师保管；
3. 开启 UAC 提示凭据（方案一第 2 步）；
4. 删除电脑内所有教师端安装包，屏蔽 U 盘拷贝安装包。

补充关键避坑说明

1. 学生如果持有管理员密码，所有权限限制全部失效，管理员密码必须严格保密；
2. Workspace 本身安装程序无内置独立安装密码功能，只能依靠 Windows 系统权限 + 平台终端密码双重管控；
3. 机房域环境：可通过域组策略批量推送 UAC、安装限制策略，不用单台电脑操作；
4. 瘦终端云桌面场景：直接在平台下发镜像，不开放本地系统管理员权限，从根源杜绝私自安装教师端。