Есть домен на базе sbs2008

клиенты winXP
Пользователи просекли, что можно mailagent, skype и тому подобное ставить в свой профиль. Встала задача это запретить.
Задача: запретить запуск любых *.exe файлов из локального профиля пользователя независимо от того где он в профиле хранится.

Создаю GP: Конфигурация пользователей -политики - конфигурация windows- параметры безопасности - политики ограниченного использования программ -Дополнительный правила.

Там создал следующее:
мя Тип Уровень безопасности Описание Дата последнего изменения
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% Путь Неограниченный 16.03.2012 15:34:22
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% Путь Неограниченный 16.03.2012 15:34:22
%programfiles% Путь Неограниченный 16.03.2012 16:12:59
%userprofile% Путь Запрещено 16.03.2012 16:11:03
%windir% Путь Неограниченный 16.03.2012 16:13:03
*.lnk Путь Неограниченный 16.03.2012 16:24:30
*.mdb Путь Неограниченный 16.03.2012 16:20:08

По умолчанию - неограниченный доступ.
Пользователи НЕ админы.
При этом lnk и mdb удалено из назначенных типов файлов.
*.lnk - создано потому что иначе не запускается из quick launch ничего
*.mdb - создано потому что на рабочем столе есть MDB файл базы с которым люди работают.

Вроде все так как хотел - но кто может подсказать как это проще сделать? поскольку я новичек в этой теме - чувствую "изврат" решения.

какая политика по умолчанию?
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% »
%windir% »

%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% »
%programfiles% »
не одно и тоже?

1)по умолчанию все разрешено.

2) Действиетльно одно и тоже. Поправил у себя.

А в остальном так и надо делать?

А в остальном так и надо делать? »
да. только инвертировать следующее значение
1)по умолчанию все разрешено. »
политика должна быть запрещено все, что явно не разрешено.