Задача в следующем, нужно ограничить действия пользователей в рамках терминальной сессии (ограничить доступ к файловой системе, программам, настройкам и т.п.). Рассматриваю вариант альтернативной оболочки, например litestep. А какие ещё могут быть варианты?

? нафига

чем встроенные средства не устраивают?

поподробнее пожалуйста, как это сделать встроенными средствами?

remoteapp

А стандартные диалоги открыть и сохранить тоже резать будем?

А как алтернативная оболочка ограничит доступ к файловой системе?

(2) права, реестр, квоты и т.д и т.п.

(6)+ тока не надо говорить что у вас на сервере один юзер на всех?

стандартные диалоги тоже нужно ограничить, я профан в этом, подскажите мануал

AD не настраивал, пользователей больше одного

(3) +1

ремотап!

RemoteApp никак не поможет ограничить доступ к файловой системе на сервере. Это просто "удобный для пользователя" запуск программы.

litestep тоже не подходит поскольку нет ограничений к файловой системе, я уже подумываю создать виртуальную инфраструктуру, или есть варианты проще? задача сводится к тому чтобы пользователь имел доступ только к стандартным каталогам своего профиля: раб стол, мои доки и т.п.

(13) делаешь группу "тупые юзвери"
этой группе права на чтение везде где нуна для запуск прог и на запись только куда надо

?

почему к файловой системе нужно ограничение ?
+ в винде есть права

(14)+ узнать куда надо дать права на запуск (для требуемых прог) есть https://technet.microsoft.com/ru-ru/sysinternals/bb896645.aspx