nastav userovi práva user, dál můžeš pomocí policies nastavit defaultně zónu IE "vysoké zabezpečení" a zakázat změny, a hlavně zakaž zápis/create všude kde to není vyloženě nutné (pokud máš dobře napsané aplikace, stačí právo zápisu jen čistě v profilu uživatele.

U home budeš muset buď použít cacls.exe, nebo to nastavit v nouzovém režimu, případně si "dohackovat" kartu zabezpečení z WindowsNT (samozřejmě předpoklad je NTFS, ale FATku dnes používají jen staromilci )