Configurações de segurança para proteger o Windows 7 Ultimate para acesso ocasional de terceiros?

Eu tenho uma caixa do Windows 7 SP1 Ultimate que é minha máquina principal / "servidor". Eu também tenho uma conta 'contador' (do tipo: usuário padrão ) que é para o meu contador para RDP na máquina para verificar no meu QuickBooks ao longo do tempo. Os arquivos QuickBooks reais são sincronizados usando DropBox entre 1) minha conta de usuário na máquina principal 2) conta de contador na máquina principal e 3) minha conta no meu laptop. Como apenas uma pessoa usa QuickBooks por vez (e a caixa de depósito tem um recurso de reversão), isso não é um problema.

Gostaria de reforçar um pouco mais a configuração do seguinte modo:

1. Impedir o acesso a qualquer unidade que não seja "C:". Atualmente, adicionei permissões NTFS ao acesso DENY à conta do contador, mas isso não funciona para unidades FAT nem para drivers USB cujas letras de unidade mudam
2. Impedir que a conta do contador desligue a máquina
3. Impedir que a conta do contador navegue C: \ 'livremente'

Meu palpite é que esses requisitos não são novos ou exóticos, por isso talvez já tenham sido abordados por alguma ferramenta na indústria de TI. É verdade que não é um sistema operacional de servidor, mas como posso chegar o mais perto possível das minhas necessidades?

Obrigado