Como impedir que os usuários efetuem login no Windows com suas próprias credenciais?

Temos muitos computadores no estilo de quiosque que fazem login automaticamente no Windows com uma conta de domínio genérica e iniciam um aplicativo que deve ser uma "cadeia de quiosque" da qual os usuários não podem sair. Este sistema funciona muito bem na maior parte do tempo.

O problema que estou tendo é que ocasionalmente (talvez 1 em 10 botas), a conta genérica não conseguirá fazer logon automaticamente na rede, e o usuário verá uma tela normal de login do Windows. A solução correta para isso é simplesmente reiniciar o quiosque novamente e tudo ficará bem. Alguns funcionários, no entanto, estão digitando suas próprias credenciais na tela de login e, em seguida, recebem uma sessão totalmente interativa do Windows, que não é o que eu quero.

Posso restringir o logon por meio da Diretiva de Grupo para que somente a conta do Kiosk (e os Administradores) possa entrar localmente. Isso funciona bem, exceto que o próprio aplicativo de quiosque tem certas tarefas "elevadas" que podem ser usadas para usar a senha de rede do usuário. Definir essa política de grupo também impede que esses recursos funcionem (o aplicativo basicamente faz um "Executar como ..." com as credenciais do usuário).

Existe uma maneira de configurar o Windows para que ele não aceite suas credenciais na tela de login principal, mas irá aceitá-las em outros prompts de segurança do Windows?