Como limitar os usuários normais de acessar o registro, a política de grupo, etc?

"Usuários limitados" já não podem acessar nenhum recurso administrativo: não podem modificar contas, não podem gerenciar dispositivos, etc.

O registro sempre pode ser acessado e se você desabilitar isso, absolutamente nada funcionaria - mas o que pode ser acessado já é limitado: somente as configurações do usuário, não outros usuários, podem ser acessadas, e os abrangentes do sistema são somente leitura.

O mesmo para a política de grupo: faz parte do registro e os usuários normais são proibidos de gravá-lo. No entanto, se você proibir a leitura , então como diabos ele deve ser aplicado?

Configure contas de usuário "limitadas" , use senhas strongs em contas regulares e de administrador.

Limited account The limited account is intended for someone who should be prohibited from changing most computer settings and deleting important files. A user with a limited account:

• Generally cannot install software or hardware, but can access programs that have already been installed on the computer.

• Can change his or her account picture and can also create, change, or delete his or her password.

• Cannot change his or her account name or account type. A user with a computer administrator account must make these kinds of changes.

• Can manage his or her network passwords, create a reset password disk, and set up his or her account to use a .NET Passport.

Fonte de informações