Надо вход в Биос ещё заблокировать. Иначе загрузочная флешка с установленной операционной и все. Сам так делал когда-то. Ноут был в домене и заблочено было вообще все.
Всё верно написали, единственное для SRP домен не нужен.
Механизм «Software Restriction Policies (SRP)» доступен в локальных политиках безопасности (secpol.msc).
Это отличная защита от портативных программ.