준관리자 통제하기에서 준관리자가 레지스트리를 편집하지 못하도록 하는 방법을 배웠다. 관리자 그룹으로 로칼 로그온한 사용자의 권한을 제한할 방법이 존재하지 않는다. 단지 다음에 열거된 파일에대한 NTFS 권한을 사용해서 로칼로 로그온하는 것만 막을 수 있다.

HKEY_LOCAL_MACHINE\HKLM\Software\Microsoft\Windows NT\CurrentVersion
	\WinLogon\Userinit

이들 파일(%SystemRoot%\System32내의) 각각에, 특정 사용자이름(그룹이 아니라)에대해 권한없음을 부여한다. 적어도 한사람의 관리자 계정은 로칼로 로그온 할 수 있도록 했는 확실히 한다. 가장 쉬운 방법은 다음과 같은 배치파일(DoAjr "Username")을 실행하는 것이다.

cacls %SystemRoot%\System32\nddagnt.exe /E /D "%1"
cacls %SystemRoot%\System32\userinit.exe /E /D "%1"
cacls %SystemRoot%\System32\win.com /E /D "%1"
cacls %SystemRoot%\System32\wowexec.exe /E /D "%1"
exit