-Windows версии Корпоративная LTSC (а лучше и с IoT) с изначально вырезанными развлекательными компонентами, а так же с минимальными системными требованиями.
-Домен обязательно.
-В политиках запрет сетевых "шар", запрет на доступ на рабочие компьютеры по сети.
-Ограничение запуска программ, а точнее полный запрет запуска чего угодно из профиля пользователя и личных папок (через политики, запрет выполения типов файлов exe, сom, bat, cmd, PS1, scr, js и т.д.).
-Режим киоска или просто гостевые доменные учетки. При чем ученик сможет сесть со своим логином за любой комп, и даже иметь на личном сетевом диске, если нужно - нормальные, не очищаемые личные папки - например "мои документы" и "загрузки". Это может пригодиться - если предусматривается выполнение работы за несколько уроков.
-Назначенный профиль, удаление всех изменений в профиле при выходе из сеанса.
-Запрет создавать папки прямо на диске С.
-Контроль доступа в сеть на роутере - для ученических компов.
-П.О. для наблюдения за действиями и за экраном. Тут лучше платное, но на край хотя бы делать скриншоты по расписанию с помощью TightVNC (там есть возможность выдергивать по сети, не оставляя на компьютере пользователя, чтоб не подчистили).
-Антивирус, опять же лучше платный с сервером управления. Дополнительно - настройка ограничения доступа на ресурсы по типам (развлекательные, для взрослых, програмное обеспечение, игры, соцсети, насилие и т.п.)
- Предотвращение физического доступа внутрь и вмешательство в процесс загрузки (вскрытие корпуса, сброс BIOS, вход в BIOS, загрузка с флешки, выбор опций загрузки и загрузочного устройства).
-Административные меры (правила, расписки, инструктаж).
Как пост-средство - готовый образ системы, именно под вашу конфигурацию оборудования. С драйверами и всем нужным П.О. Даже если умудляться сломать - разворачиваем готовую чистую за 5 минут.
Много, да, но вполне решаемо на уровне обычного сисадмина.
И вопрос нельзя решить просто с помощью "волшебной версии Windows"...
