Обычно учетные записи, по крайней мере, являются членами группы «Пользователи», которая имеет доступ ко многим вещам. Вы можете сделать учетную запись участником групп или групп «Гости», что очень ограничительно.
Реальная проблема заключается в том, что маркер программы (внутренний объект безопасности, который отслеживает, какие идентификаторы безопасности есть у запущенного процесса) будет содержать группы «Все» и «Прошедшие проверку», которые также имеют доступ для чтения ко многим вещам. Невозможно создать учетную запись без этих групп. Вы можете удалить доступ, который есть у групп «Все» и «Аутентифицированные пользователи», к большинству всего, но было бы много работы, чтобы отследить их.
Я бы сказал, что создание стандартной учетной записи пользователя или гостевого доступа для ненадежных программ будет достаточно безопасным. Чтобы поддерживать самообновления и хранить связанные файлы в одном месте, я предлагаю вам установить эти программы непосредственно в профиле учетной записи пользователя, под которой они будут работать, например. C:\Documents and Settings\skype\Program Files\Skype
Если вы хотите стать действительно модным, вы можете использовать токен с ограничениями, чтобы либо запретить только группам «Все», «Прошедшие проверку» и т. Д. (Поэтому они не могут предоставить какой-либо доступ), либо создать список «Ограниченный SID». Это будет трудно реализовать, потому что есть глобальные объекты, к которым программы могут получить доступ, к которым имеет доступ группа «Все», что обычно является безопасным выбором.
См. Функция CreateRestrictedToken .
Существует также программа командной строки с открытым исходным кодом, для которой я создал программу для создания ограниченных токенов и объектов заданий на лету: UlimitNT