Información extraída de   http://support.microsoft.com/default.aspx?scid=kb;es;293655  si bien aquí se implementa la denegación de permisos a los usuarios de manera que no puedan restituir el archivo quitando los permisos de lectura de la carpeta %Systemroot%\System32\GroupPolicy.
 
Haga clic en Inicio, Configuración, Panel de control y, a continuación, haga doble clic en Opciones de carpeta. Haga clic en la ficha Ver, haga clic en la opción Mostrar todos los archivos y carpetas ocultos y desmarcar  uso compartido de archivos después, haga clic en Aceptar de forma que pueda ver la carpeta oculta de Directiva de grupo y nos permita cambiar los permisos  a los distintos grupos de usuarios etc.

Aplicar directivas locales a todos los usuarios excepto a los administradores

Para implementar directivas locales para todos los usuarios, excepto los administradores:
  1. Inicie sesión en el equipo como administrador.
  2. Abra la directiva de seguridad local: Haga clic en Inicio, Ejecutar y escriba: gpedit.msc o bien haga clic en Inicio, Ejecutar, escriba: mmc y cargue la directiva de seguridad local. Si la eliminación del comando run es una de las directivas que desea, se recomienda modificar la directiva mediante Microsoft Management Console (MMC) y guardar después el resultado como un icono. Entonces, el comando run no es necesario para volver a abrir la directiva. Cuando la directiva esté abierta, expanda Configuración de usuario, Administrativo, Plantillas.
  3. Habilite las directivas que desee.
    NOTA: asegúrese de seleccionar las directivas correctas; de lo contrario, puede restringir la posibilidad de que el administrador inicie sesión en el equipo (y realice los pasos necesarios para configurar el equipo). Se recomienda anotar los cambios realizados (también puede utilizar esta información para el paso 10).
  4. Cierre el complemento de Directiva de grupo Gpedit.msc o bien, si utiliza MMC, guarde la consola como un icono para que se pueda tener acceso a ella posteriormente y cierre sesión desde el equipo.
  5. Inicie sesión en el equipo como administrador. En este inicio de sesión puede observar los cambios de directiva realizados anteriormente ya que, de manera predeterminada, las directivas locales se aplican a todos los usuarios, lo que incluye a los administradores.
  6. Cierre sesión en el equipo y, después, inicie sesión en el equipo como todos los demás usuarios de este equipo a los que desea que se apliquen estas directivas. Las directivas se implementan para todos estos usuarios y para el administrador.
    NOTA: no se pueden implementar las directivas para las cuentas de usuario que no hayan iniciado sesión en el equipo en este paso.
  7. Inicie sesión en el equipo como administrador.
  8. Copie el archivo Registry.pol de la carpeta %Systemroot%\System32\GroupPolicy\User\Registry.pol a una ubicación de copia de seguridad.
  9. Abra de nuevo la directiva local mediante el complemento de Directiva de grupo Gpedit.msc o en el icono de la consola MMC y, después, habilite las funciones que se habían deshabilitado en la directiva original creada para dicho equipo.
  10. Cierre el editor de directivas y vuelva a copiar a la carpeta %Systemroot%\System32\GroupPolicy\User el archivo de copia de seguridad Registry.pol que copió en el paso 8. Copie el archivo Registry.pol de seguridad sobre el nuevo archivo Registry.pol existente recién creado al deshabilitar las mismas funciones. Cuando el sistema operativo le pregunte si desea reemplazar el archivo existente, haga clic en .
  11. Cierre sesión en el equipo e inicie sesión en el equipo como administrador. Observará que los cambios realizados originalmente no se han implementado para usted, ya que ha iniciado sesión en el equipo como administrador.
  12. Cierre sesión en el equipo e inicie sesión en el equipo como otro usuario (u otros usuarios). Observará que los cambios realizados originalmente se han implementado para usted, ya que ha iniciado sesión en el equipo como un usuario (no como administrador).
  13. Inicie sesión en el equipo como administrador para comprobar que la directiva local no le afecta como administrador local de dicho equipo.

Restaurar las directivas locales originales

Para invertir el proceso descrito anteriormente:
  1. Inicie sesión en el equipo como administrador.
  2.  
  3. Mueva, cambia el nombre o elimine el archivo Registry.pol de la carpeta %Systemroot%\System32\GroupPolicy\User. El sistema Protección de archivos de Windows creará otro archivo Registry.pol predeterminado después de cerrar sesión o de reiniciar el equipo.
  4. Abra la directiva local: Haga clic en Inicio, Ejecutar y escriba: gpedit.msc o bien haga clic en Inicio, Ejecutar, escriba: mmc y cargue la directiva de seguridad local. Después, configure como "not configured" todos los elementos que sean "disable" o "enable" para invertir todos los cambios de directiva implementados en el Registro de Windows 2000 según lo especificado por el archivo Registry.pol.
  5. Cierre sesión en el equipo como administrador e inicie sesión en el equipo como administrador.
  6. Cierre sesión en el equipo e inicie sesión como todos los usuarios del equipo local, de forma que se puedan invertir también los cambios en sus cuentas.