[обновлено] расположение файла легко.Это просто отмена разрешения на запись в папку и все ее подпапки и файлы для Builtin \ Users, и предоставление Builtin \ Administrators полного разрешения.Вы можете установить это через Проводник, свойства-> разрешения или командную строку с помощью cacls (или icalcs, если вы используете win7)
Регкей на моей коробке win7 уже доступен только для чтения (не для записи) Пользователям ичтение / запись локальными администраторами (regedit -> контекстное меню -> разрешения).
Если он по-прежнему не ведет себя так, как вы хотите, выясните, в каких группах находится обычный пользователь (также группы домена), а затем проверьте, как эти группы распространяются на локальный компьютер.
И, как предложил Бен в комментариях, вы могли бы начать новый вопрос о сбое сервера.
[конец обновления]
[перед редактированием ответа] Я сомневаюсь, что вы можетезапретить удаление «одного» приложения.С помощью групповой политики вы можете «Запретить удаление обновлений»
(в GPedit.msc в разделе «Конфигурация компьютера / Администратор шаблоны / компоненты Windows / установщик Windows)
Групповая политика устанавливаетсяадминистратор домена и применяется по всему домену, поэтому он не требует «разрешения».Но вам, конечно, нужно, чтобы локальные администраторы не редактировали локальную групповую политику.
Еще один более пугающий вариант - использование групповой политики в разделе «Параметры программного обеспечения» в параметрах безопасности.Здесь вы можете ввести политику пути для имени файла MSI или EXE, который вы не хотите запускать.
И то, и другое требует проверки / тестирования, чтобы из-за того, что слишком много ограничений мешало всем начинать что-либо ...