[mise à jour] l'emplacement du fichier est facile. C'est une simple révocation de l'autorisation d'écriture sur le dossier et de tous ses sous-dossiers et fichiers pour Builtin \ Users, et de donner à Builtin \ Administrators une perméabilité totale. Vous pouvez le définir via l'Explorateur, propriétés-> permissions ou en ligne de commande avec cacls (ou icalcs si vous êtes sur win7)
La clé reg est sur ma boîte win7 déjà seulement lisible (non inscriptible) par les utilisateurs et lire/écrire par les administrateurs locaux (regedit -> Menu contextuel -> Persmissions). S'il ne se comporte toujours pas comme vous voulez savoir à quels groupes appartient un utilisateur normal (également des groupes de domaine), vérifiez ensuite comment ces groupes sont propagés à la machine locale.
Et comme Ben l'a indiqué dans les commentaires, vous pouvez commencer une nouvelle question sur Erreur de serveur.
[mise à jour de fin]
[avant réponse Edite] Je doute que vous pouvez interdire la désinstallation de 'une' application. Au moyen d'une stratégie de groupe, vous pouvez « suppression Pohibit des mises à jour »
(dans GPedit.msc sous Ordinateur Config/templates Administration/composants Windows/Windows Installer)
La stratégie de groupe est défini par un administrateur de domaine et est appliqué à travers le domaine, donc il ne nécessite pas de «persmissions». Mais vous devez également empêcher les administrateurs locaux de modifier la stratégie de groupe locale.
Une autre option plus décourageante consisterait à utiliser une stratégie de groupe dans la partie Reconnexion de logiciels des paramètres de sécurité. Ici vous pouvez entrer une politique de chemin pour le nom du fichier msi ou exe que vous ne voulez pas exécuter.
Les deux nécessitent la validation/tests pour prévenir que beaucoup restriction empêche tout le monde de quoi que ce soit à partir ...
Cette question serait un meilleur ajustement pour serverfault.com, mais il ne peut y être déplacé car il a une prime. –