В общем, охота сделать так, чтобы ПО УМОЛЧАНИЮ (без ручного редактирования прав пользователей на их папки) пользователи могли запускать файлы только из %systemroot% и %programfiles%, но н в коем случае не из %userprofile% (documents and settings), куда они имеют права на запись. Как это сделать - ума не приложу. Папки профайлов пользователей, находящиеся в DOCUMENTS AND SETTINGS не наследуют права от родительской папки, и по умолчанию владелец обладает полным набором прав.

Политики запрета не подходят, так как тода админы тоже будут забанены )))

очень надеюсь, что кто-нибудь чем-нибудь поможет. Вопрос, как мне кажется, далеко не тривиальный.

может при помощи cacls /?

а как я узнаю что пользователь первый раз зашел в систему и для него созданы папки профайла?????

так-то и я вручную могу с помощью GUI интерфейса на вкладке безопасность ))