Администрирование, настройки безопасности в Xp Опции

[Altair]

Есть такая задача.
Windows XP Pro SP2

На машине имеется 2 учетные записи -
первая (дальше root) в группе Адимнистраторы с полным доступом к системе, вторая (дальше user) в группе Пользователи.

Требуется
ограничить пользователю доступ к папкам автозагрузки администратора и
запретить запуск CMD, regedit, scripts....

Делаю так, - из админа в свойствах объекта (папка или exe) на вкладке безопасность ставлю юзеру запрет на все, а админу разрешаю..
но эффекта никакого, все равно находясь под юзером я могу получить доступ ко всему!

Вопрос как правильно запретить доступ к нужным объектам, и какие потенциально опасные объекты следует защитить ?

Буду благодарен за любые советы, спасибо!