Urka, non so se faccio bene a rispondere
Scherzi a parte, hai sfiorato la punta dell'iceberg.
In Windows NT e superiori (E XP è della famiglia NT) ci sono da sempre una serie di configurazioni molto fini di sicurezza (poi pochissimi privati le implementano).
Nelle aziende il Group Policy permette di configurare delle "policy" appunto che vengono applicate per Unità Organizzative o per gruppi di Utenti / Computer.
Nel tuo caso hai un solo PC, caso abbastanza atipico.
Ci sono un po di strumenti da utilizzare:
SECPOL.MSC --> Ti permette di configurare UTENTE PER UTENTE tutti i diritti degli utenti della tua macchina (in questo modo, puoi creare l'utente BAMBINO e dargli quasi nessun "diritto" [che è diverso dalle configurazioni della policy]).
Tieni presente che ci sono anche dei "template" di sicurezza prefabbricati, ma forse è meglio lasciare perdere. (Volti ad utilizzo più aziendale).
Una volta definiti i diritti (minimi) per l'utente BAMBINO, questi NON POTRA' PIU' Accedere a GPEDIT.MSC, ma l'administrator si.
Con Win 2k e superiore è possibile Loggarsi come utente BAMBINO, e quindi eseguire il GPEDIT.MSC tramite RUNAS (Tasto destro del mouse tenendo premuto lo SHIFT sinistro e verrà anche l'opzione RUNAS).
A questo punto sei loggato come BAMBINO, cambi la configurazione della policy UTENTE.
A questo punto puoi FORZARE anche l'update tramite linea di comando --> Avvio --> Esegui --> CMD
E poi lanci: GPUDPATE /TARGET:USER /FORCE (e forzi l'update).
Quindi puoi verificare il risultato tramite RSOP.MSC (Che ti fa vedere la risultante di eventuali diverse policy).
Tieni presente che puoi anche lanciare MMC e poi aggiungere i diversi Snap-In dopo....
Spero di averti aperto quantomeno un mondo e non confuso le idee, è che la cosa che chiedi, per quanto interessante, richiede un po di basi teoriche non banalissime...
Enjoy
