[TrenAr]

Скажите, а почему не блокируется возможность изменения реестра (в regedit, где на любой ветви можно эти самые права задать), если пользователь обладает правами администратора?
Т.е. понятно, что он входит в группу администраторов, которым всё разрешено. Но если этот пользователь конкретно указан отдельно, где ему прописано только чтение - какого фига система разрешает творить всё, что вздумается?

Я просто хотел перекрыть некоторые ветки в HKLM, чтобы злые вирусы, запущенные с правами этого пользователя не могли сильно изменить и сломать реестр. Однако не смог установить права - всё равно был полный доступ.

Т.е. это эдакая полу-имитация пользователя с правами юзера, только в лице админа.