[Admiral]

Создаём нового Опытного (Power) пользователя, через утилиту control userpasswords2, или сразу Администратора (Administrator), через Панель управления - > Пользователи, так как не все проги с под Опытного могут установится.
Выставляем ему запрет на диск D через управления правами через GUI или через консоль командой cacls.exe D:\ /E /R "Имя Пользователя", правда если всё же создали его как Администратора, а не Опытного, он сможет себе вернуть права, так что диск ещё придётся шифронуть встроенным шифровальшиком (главное не забыть сохранить сертификат шифрующего!).

С под его учёт в реестре по адресу
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
создаём ключ DisallowRun типа DWORD со значением 1
Тут же создаём подраздел с этим же именем, а в нем указываем список запрещенных программ через строковые параметры. Нумерация в этом подразделе с 1, параметры содержат строки с путями и/или именами приложений. Имена файлов должны быть с расширением. Если Сmd.exe то должно быть
"1" - "Cmd.exe"

Редактор реестра запрещается через создание по этому ж адресу HKCU\SOFTWARE\Microsoft\Windows\CurrentVerson\Policies\System ключа DisableRegistryTools типа DWORD со значением 1.

Доступ к реестру будет возможен через сторонние приложения, а так же через РЕГ файлы, так что откатить такой запрет не составит большой проблемы.

Однако, более правильное решение, это когда все проги настроены и установлены админом, а пользователь работает от имени Ограниченной учётной записи, а не от имени Опытного или Администратора.