Richtig, allein die Zertifizierungen. Bei den Maschinensteuerungsrechnern ist ALLES abgedreht, auch die Windowsupdates, sonst ist das nicht mehr Zertifiziert. Schräg aber bitte.
Das mit dem Einfrieren kannst du (oder konntest, da nur bis XP lauffähig) auch mit SteadyState von Microsoft machen. Bei jedem Reboot spielt es quasi das Image wieder zurück. Blöd ist nur das die meisten neuen Programme bei einem fehlerhaften Update einfach GAR nicht mehr starten. Klar, kann man das mit Image lösen, aber jeden Tag mal mehrere Minuten bis zur halben Stunde warten bis alles up-to-date ist, naja.
Cool, das Programm kannte ich noch nicht. Hatte nur mal mit ThinApp zu tun aber das ist ja leider wirklich sehr teuer. Blöd ist meist nur die Möglichkeit Daten auszutauschen. NTCS zB holt sich Daten vom Exchange/Outlook, macht Auswertungen über Excel, oder importiert PDFs für das Archivierungssystem, dh es braucht eigentlich auf alles Zugriff wo nur geht.
Programme machten wir mal testhalber über MSI mit den GPOs, ist aber alles nicht so das Wahre. NetInstaller war mal toll, die alte Version aber man musste halt immer wieder was anpassen. PDQ muss ich mir mal anschauen.
Wie ist das mit Sandboxie wenn man zb Files herunterlädt? Man kommt ja nicht mehr aus dem "Käfig" raus, oder? Für kleine Programme sicher brauchbar.
Hauptproblem ist halt "das zahlt der Kunde nicht, das soll nur funktionieren". Da hast du bei 10 Rechnern keinen Einzigen Gleichen Rechner, oder bei 100 vielleicht 10-15 verschiedene Systeme, alle haben andere Programme drauf und da ist von W2K, XP bis 10 alles mal dabei. Da wirds halt gruslig.
müsst ich mal auf usb stick machen. oder win 10. von paragon usw. hab ih null ahnung. 
.