Запустить gpedit.msc. Дальше пункт в картинке. Но лучше все эти вещи делать не на каждой машине, а на уровне Organisation Unit или Domain.

Возможно только в том случае, если ненужная софтина запустится от имени системы.

Да, и нужно РАЗРЕШАТЬ запуск полезных, а не запрещать не нужные.

Как же я их разрешу эти полезные, где бы списочек взять, там на фоне столько утилит пашет что голова кругом.
И еще как не всем запретить? Например в вышеуказанном списке запретил редактирование реестра, оно запретилось, в том числе и у меня, админа. Прав в этой настройке что-то не упоминается.

По первому вопросу:
Список необходимых программ отслеживается очень просто:
1. логинишься под пользователем и запускаешь все программы, необходимые для работы,
2. запускаешь оснастку Terminal Services Manager и смотришь все процессы у пользователя

По второму вопросу:
На уровне доменных групповых политик можно вызвать свойства политики и на закладке Security произвести необходимые настройки.