Restringindo o acesso a um programa no Windows Vista

Eu preciso bloquear um PC do Windows Vista Business. Um dos requisitos é que o acesso a C: \ Windows \ System32 \ regedit.exe seja restrito a apenas administradores (locais). Este é um PC autônomo que não está conectado ao ActiveDirectory ou qualquer coisa assim.

As permissões de ACL padrão neste PC para o regedit são:

regedit.exe D:PAI(A;;FA;;;S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464)(A;;0x1200a9;;;BA)(A;;0x1200a9;;;SY)(A;;0x1200a9;;;BU)S:AI

Tentei alterar o proprietário para administradores e desmarcar a permissão "Ler e executar" para o grupo Usuários. Eu acho que meu usuário ainda está no grupo Administradores local e eles têm permissões de "Leitura" e "Leitura e Execução" para regedit.exe. No entanto, quando tento abrir o arquivo logado como um usuário administrador, não consigo mais abrir o regedit.exe, mesmo quando clico com o botão direito do mouse em "Executar como administrador". Eu recebo um erro:

O Windows não pode acessar o dispositivo, o caminho ou o arquivo especificado. Você pode não ter as permissões apropriadas para acessar o item.

O que eu estou entendendo mal sobre o acesso a arquivos do Windows Vista? Quais configurações permitirão que um usuário do grupo Administradores abra regedit.exe, mas nenhum outro usuário?

Bem ... a menos que você bloqueie a máquina inteira, qualquer coisa assim simplesmente não funcionará.

Existem centenas de ferramentas de terceiros que permitem a edição do registro.

No entanto, se você quiser apenas o acesso básico a desativar a proteção do regedit, abra o Editor do Registro e navegue até HKEY_CURRENT_USER\ Software\ Microsoft\ CurrentVersion\ Policiese crie um Dword com nome DisableRegistryToolse valor de 1.

E feito!

Infelizmente, você não pode fazer isso para o registro inteiro em si, mas colocar todos os usuários que você não deseja ter acesso a um novo grupo, então dê a esse grupo a permissão "negar" ao programa regedit.exe, e qualquer outra coisa que você don quero que eles toquem. Negar anulará quaisquer outras permissões que você definiu anteriormente. Você pode restringi-los demais, em algumas pastas, e "quebrar" alguns programas, então teste-os se você fizer isso.

Como herdará as permissões, você precisará ir para o avançado e desmarcar essa opção e, quando solicitado, clicar em copiar. Isso copia as permissões herdadas, mas faz com que elas se originem lá.

Como apontado, isso não impedirá um usuário experiente, mas interromperá a maioria.

Se você realmente precisa bloquear um computador para um usuário específico, eu recomendo este programa (na verdade é bastante surpreendente):

http://www.fortresgrand.com/products/f101/f101.htm