Вопрос: Можно ли запретить пользователю запускать какие-то определённые программы?
В реестре есть раздел HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, содержащий настройки "Проводника" для текущего пользователя. В нём существует параметр RestrictRun типа DWORD (если его нет, можно его создать), отвечающий за возможность запретить запускать что-либо от имени пользователя. Если значение параметра равно 0, никаких запретов нет. Если задать его равным 1, то пользователь лишится возможности запускать все программы, кроме специально указанных ("всё, что не разрешено - запрещено").
Указываются разрешённые программы так: в вышеупомянутом разделе реестра создаётся подраздел RestrictRun (имя совпадает с именем "запрещающего" параметра), а в нём - параметры с именами 1, 2, 3 и т. д. и значениями - именами исполняемых файлов, которые пользователю разрешено запускать (avp.exe, winword.exe, outlook.exe и т. п.). Не забудьте включить в этот список regedit.exe, иначе отменить изменения станет невозможно!
Тонкость в том, что внести в список разрешённых нужно не только прикладные программы, нужные пользователю для работы, но и системные утилиты, запускаемые автоматически при входе пользователя в систему (например, антивирус или средство настройки видеорежимов). После того, как вы окончательно убедитесь, что внесли в список абсолютно всё, что нужно, удаляйте из него regedit.exe, чтобы пользователь не смог самостоятельно отменить все ваши запреты. Разумеется, делать это можно ТОЛЬКО в том случае, если у вас на этом компьютере есть другая учётная запись (администраторская), к которой пользователь доступа не имеет. Иначе regedit.exe должен ОБЯЗАТЕЛЬНО оставаться в списке!
Дело в том, что все эти разделы и параметры касаются только текущего пользователя, то есть хранятся не в системном реестре, а в пользовательском (т. е. в файле ntuser.dat в папке C:\Documents and Settings\имя_пользователя). При входе в систему с другим именем пользователя вы увидите в разделе HKEY_CURRENT_USER совсем другие папки и параметры. Чтобы добраться до пользовательского реестра другого пользователя, его надо загрузить в regedit.exe при помощи пункта меню "Загрузить куст" (работает только тогда, когда курсор стоит в разделе HKEY_USERS), а после внесения туда нужных изменений - обязательно выгрузить ("Выгрузить куст"), иначе пользователь не сможет войти в систему!