Инструкция
1
Наиболее часто встречающейся рекомендацией для запрета установки программ определенному пользователю является создание отдельной ограниченной учетной записи для выбранного пользователя. После этого с помощью secpol.msc (Local Security Policy) надо разрешить этому пользователю использовать только приложения, находящиеся в папках %SystemRoot% и %ProgramFiles%, запретив все остальные.
2
Для этого уберите тип файлов LNK в группе Software Restriction Policies - Designated File Types и выберите параметр All users except local administrators в разделе Enforcement. После этого перейдите в раздел Security Level и укажите опцию Disallowed в качестве параметра по умолчанию.
3
Подавляющее большинство пользователей пользуются встроенным установщиком программ для того, чтобы установить новое приложение. Поэтому альтернативным способом запрета установки может служить блокировка программы Windows Installer. Это может быть осуществлено путем создания нового строкового параметра DWORD с именем DisableMSI в соответствующей ветке системного реестра. Возможными значениями этого параметра являются:

- 0 - использование установщика Windows разрешено всем пользователям;
- 1 - использование установщика Windows разрешено только администратору системы;
- 2 - использование установщика Windows запрещено всем пользователям.
4
Попробуйте также прописать программы, к которым необходимо запретить доступ определенному пользователю, в ветке
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion’Policies\Explorer\\DisallowRun,
создавая новый параметр REGSZ для каждого приложения. Значением создаваемого параметра должен быть полный путь к исполняемому файлу программы. Создайте также новый параметр типа REGDWORD со значением 1 lkzдзапрета выполнения выбранной программы.