Суть в том, чтобы запретить запуск программ оттуда, где есть права на запись, и разрешить запуск там, где нельзя записывать.
1. Создать пользователя в группе «Пользователи».
2. Далее Панель управления → Администрирование → Политики ограниченного использование программ → Дополнительные правила. Добавить правила с запретом на диски C: и D: (если есть), разрешить Program Files, Windows, system32. Так же можно запретить и флешки.
3. Для удобства, чтобы можно было запускать программы по ярлычкам, из Назначенных типов файлов (находится в Политиках ограниченного использование программ) удалить ярлыки. Там же можно удалить из запрещённых файлов файды справки и т.п.
Установить весь софт нужно до создания политик. Проверенно на XP, на Семёрке не знаю как будет работать. С некоторым ПО могут возникнуть проблемы.
