阻止用户访问主文件夹之外的任何内容并运行 Windows 上的任何可执行文件

我面临一个相当复杂的问题，我不知道如何以最佳方式解决它。简而言之，我需要阻止对 Windows 上配置文件/主目录之外的任何内容的访问（浏览、显示、运行等），并阻止安装和执行任何当前未安装在系统上的程序或应用程序。这类似于在 Linux 上删除 X 权限和只读。这还应包括阻止更改任何系统设置，例如日期。

如何使用 GPO 策略或任何第三方软件以最佳方式解决此问题？

您能给我指明正确的方向吗？

上述操作的一个不错的补充是阻止任何从存档或自解压的 exe 中运行的可执行文件，

在此先谢谢您。