Добрый день,
Есть пара вариантов
1. Вы можете настроить локальную безопасности и ограничить доступ на запуск конкретных приложений. Для этого откройте оснастку "Локальная политика безопасности" (secpol.msc, данный вариант можно использовать и в домене). В ней будет раздел "Политики ограниченного использования программ", нажмите на него правой кнопкой и создайте новую политику. Появятся подразделы, Вам нужен раздел "Дополнительные правила". В этом разделе нужно добавить правила с указанием пути к файлу или папке доступ к которым запрещен. При создании правила в поле Уровень безопасности выберите Не разрешено. Например если указать путь: "%userprofile%\Local Settings\Temp" (поддерживаются маски и переменные окружения) то пользователь не сможет запустить на выполнение ни одну программу из этой папки - получит предупреждение что запуск ограничен политикой безопасности. При этом, если файл переместить в другую папку, его можно будет запустить. Есть еще вариант добавления правила по хэшу. Это должно защитить Вас от запуска файла при перемещении. Замечу что данный механизм полностью игнорирует права пользователя и будет одинаково работать как для обычного пользователя так и для администратора.
2. Вы можете граничить доступ на чтение/запуск на уровне NTFS для конкретного пользователя. Для этого зайдите в свойства нужного файла/папки и просто установите нужные разрешения.
Успехов!