Problém takového řešení je ten, že uživatel má nad tímto nastavením kontrolu a tudíž se nejedná o "neprůstřelné" řešení.
Jediné takové na 100% funkční řešení je transparentní proxy.
Jinak se mi ale toto zdá jako totálně "kanonové" řešení na vrabce. Většinou postačí uživateli zakázat zápis po disku s výjimkou vlastního profilu a obráceně v group policies zakázat spouštění aplikací (*.exe, *.com, *.bat, *.vbs, *.msi apod.) z vlastního profilu. Tím se umožní spouštění aplikací nainstalovaných adminem, ale znemožní spouštění aplikací stažených uživatelem - aneb viz první můj příspěvek. Pokud je doména, je nastavení pro všechna PC otázkou několikerého kliknutí myši a jednoho skriptu na nastavení práv.