Sorry, nisam video da ima odgovora.
Ako se malo bolje razmisli, kako se definise instalacija programa? Ti pokrenes neki .exe (ili .msi, o tome malo kasnije) i on nesto radi. Sad, da li je to sto radi instaliranje neke aplikacije ili nesto drugo tesko je razlikovati (sa tacke gledista operativnog sistema).
Zbog toga, koliko ja znam, nije moguce tacno zabraniti instaliranje programa. E sad, ima nekih stvari koje se mogu uraditi.
Ukoliko se radi o .msi instalacionim fajlovima, oni koriste microsoft installer i za takve instalacije se moze uvesti zabrana (ovo vazi i za neke .exe). Takodje, moguce je ograniciti korisnika na izvrsavanje samo nekih .exe fajlova ali je to vrlo nezgodno za primenu (utice samo na pokretanje iz explorer-a, drugi programi mogu pokrenuti bilo sta). I, mogu se odrditi dozvole pristupa raznim folderima i ostalim resursima (permissions). Ovo poslednje opet nece mnogo pomoci protiv instalacije jer vecini korisnika ipak treba neki folder sa pravom upisa, i onda mogu instalirati program tu. Postoje i third party software koji donose neku dodatnu zastitu. Valjda prepoznaju da je nesto instalacija ili vec kako.
Sve u svemu, u pitanju je nadmudrivanje. Postoji prilicno opsiran tekst na
http://technet.microsoft.com/en-us/library/bb457006.aspx koji doduse, nisam ceo procitao, ali trebalo bi da pruzi neke korisne informacije. Informacije koje se tamo nalaze, uglavnom se odnose na situaciju gde postoji domen i vecina stvari se podesava preko group policy manager-a koji se u tom slucaju moze primeniti na pojedinacne korisnike ili organizacione jedinice. Kako to primeniti na pojedinacne korisnike na stand alone kompjuteru? Uglavnom ne lako. Vecina tih stvari koje se podese u GPO se reflektuje na registry kada se user uloguje. Potrebno je "samo" izvrsiti te iste izmene; medjutim, ja jos nisam nasao da je to negde dokumentovano tako da postoje dva nacina: google i reverse engineering. Ovo drugo se moze postici tako sto se umreze dva racunara (mogu i virtuelni), na jedan instalira Windows server (najbolje 2003) na drugi XP. Zatim se na serveru podigne domen a XP prikljuci tom domenu. Zatim vrsis podesavanja na serveru i trazis sta se promenilo na klijentu.
Ja sam se svojevremeno zezao sa tim, doduse, u malo drugacijem okruzenju, ali se svodi na isto. Medjutim, em davno bilo em mi nije narocito trebalo kasnije, tako da sam pozaboravljao :)
Hive fajlovi su fajlovi u kojima se nalazi Registry baza. Ima ih na vise mesta a konkretno ovde sam mislio na NTUSER.DAT fajl koji se nalazi u folderu profila (obicno c:\documents and settings\username) i koji se inace mapira na HKeyCurrentUser kada se taj korisnik uloguje. Moze se inace ucitati iz Registry editora sa File > Load Hive (nikako import!). Mada evo meni je sada disabled ta stavka u meniju al' me mrzi provaljivati zasto :P