Сокрытие пункта контекстного меню "Запуск от имени администратора"
 

Требуется скрыть пункт контекстного меню "Запуск от имени администратора". Система Windows 2008 R2, в домене, просто терминальный сервер. Контроль UAC отключен (в силу ряда причин).
Можно, конечно, полностью запретить контекстное меню, но это на самый крайний случай...
На форуме были посты по восстановлению этого пункта, а вот обратную задачу никто не рассматривал. Тупо удалять ключи реестра не хочу - сервер рабочий и пользователей несколько десятков.
А вся "заморочка" из-за того, что при включении "Ограниченного использования программ" левый "клик" мыши на ярлыке или запускаемом файле выдаёт, как и положено, запрет, а вот "правый" - "запуск от имени" и , гад, даже не спрашивая пароль, запускает программу. Понятно, что самое правильное - включить UAC, но это приводит к другим, крайне неудобным для работы, последствиям.
Может, кто-то владеет "тайным знанием"?
Да, отключение службы "Вторичный вход в систему" ничего, увы, не дало :(

Что могу подсказать это включить UAC и дать пользователю полные права на доступ к папке с нужной программой... и проблем с запуском не будет

В том то и беда, что запуск не нужен :)

1. Включение UAC самым правильным не является.
2. По всей видимости, неправильно настроена политика "ограниченного использования"? Что там вообще?

Сама политика вроде отрабатывается правильно.
Политики ограниченного использования программ – Уровни безопасности – Запрещено (на скриншоте еле видно)
Остальные параметры на 2 и 3 скриншоте.
А главная проблема (видимо, из-за отключенного UAC) в том, что пользователи могут запускать любую программу по правой кнопке - "Запустить от имени администратора". Причем пароль от них не требуется.
Вот поэтому я и ищу способ, не включая UAC, закрыть эту "дырку". На ru-board.com подсказали воспользоваться "твикером". Проблему решает, но нужно запускать его в сеансе каждого пользователя, править контекстное меню, а затем запрещать и его запуск. Работать можно, но вдруг "ненадежных" пользователей станет не 2-3, а 30? Замучаюсь ручками ваять...
Вот и спрашиваю, может кто знает чего в реестре подправить, чтобы "спрятать" пункт "Запустить от имени администратора"?

И пользователь, естественно не относиться к группе локальных Администраторов??

Именно так.

У меня такого нигде не было. Ещё раз проверил и семёрки, и 2008-е — нигде такого бага нет.
Что мне в принципе не нравится у вас — политика настроена в User Configuration. Переводите в Computer Configuration. Полагаю, проблема в неявном конфликте с незаданной политикой Computer Configuration.

WindowsNT, Вполне возможно, но на этом терминальном сервере работают и "благонадежные" пользователи, которым эти запреты не нужны. А Computer Configuration применит всё ко всем пользователям.
Видимо, придется пользоваться твиком и надеяться, что "ненадежных" пользователей будет не больше десятка :-)

"Белые списки" нужны всем без исключения. Не существует в мире ни единого компьютера или пользователя, для которого была бы не нужна политика SRP. Только многие этого не понимают.

Для "благонадёжных" можете достыковать ещё одну политику, в которой можно расширить их разрешения в User Configuration. Для baseline же оформите минимальный Computer Configuration.

WindowsNT, Спасибо за "наводку", думаю, стоит попробовать. Главное разобраться с приоритетом применения нужных политик.