Приведется повозиться с Групповыми Политиками и Локальными политиками безопасности , может еще и оболочку какую-нибудь другую прикрутить вместо explorer`a .
Все зависит насколько надежно ты хочешь изолировать пользователя от системы , и какого пользователя хочешь изолировать .
В принципе некоторые ограниченные группы уже встроены в системе , можно начинать с них .