gibts es unter windows einen vernünftigen weg, normalen benutzern zu erlauben, nur programme im "programme"-order auszuführen?

ich hab jetzt unter xp 3 sachen ausprobiert, von denen alle mehr oder weniger gescheitert sind.

1. secpol.msc

die pfadregeln, die sich dort definieren lassen, gelten offenbar auch für verknüpfungen, das heißt, die müssten alle einzeln manuell wieder freigegeben werden

2. windows rechteverwaltung

der besitzer eines ordners hat immer vollen zugriff auf die rechteverwaltung dieses ordners, d.h. auch wenn das ganze home-verzeichnis einem admin gehören würde und ausführen gesperrt wäre, könnte er einen neuen ordner anlegen und dort wieder ausführrechte eintragen

3. registry

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer]
"RestrictRun"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\RestrictRun]
"1"="regedit.exe"

erlaubt allerdings keinen festen pfad, wodurch ich eine beliebige exe nach einer ausnahme benennen und ausführen könnte. (regedit muss zur weiteren bearbeitung dabei sein)