Eu sugeriria que você usasse políticas de grupo. A Microsoft tem uma página da web como editar várias políticas de grupos locais. Uma opção é criar uma política de grupo para todos os usuários não administradores. Outra opção é criar uma política de grupo para cada usuário individual. Você pode achar interessante observar todas as possibilidades oferecidas pelas políticas de grupo.
Em Configuration\Administrative Templates\System você pode estar interessado em Run only allowed Windows applications , Don't run specified Windows applications e Custom User Interface . O Editor de Diretiva de Grupo fornece uma descrição detalhada para cada opção.