Подъем приложений на ограниченной учетной записи

У меня есть куча приложений, которые не совсем следуют рекомендациям по написанию приложений для Windows и плохо работают с ограниченными учетными записями. Есть также несколько обычных приложений и сервисов. К сожалению, мне приходится запускать все эти аккаунты на очень ограниченных Windows 7 - 8.1 Professional,

Счета в основном должны быть ограничены:

• Используйте набор предопределенных приложений - некоторые из них будут работать после входа пользователя, другие могут запускаться пользователем.
• Ограничьте доступ к нескольким каталогам - разрешены только модификации существующих файлов. Создание новых файлов и удаление существующих запрещены.

Я пытаюсь сделать это путем:

• Создание дополнительной учетной записи привилегированного пользователя.
• Запуск необходимых служб от имени этого привилегированного пользователя.
• Автоматический вход пользователя включен для ограниченной учетной записи пользователя.
• Все приложения запускаются как привилегированный пользователь с ограниченной учетной записью пользователя (runas).

Я делаю это правильно? Есть ли лучший или более правильный способ сделать это?

И если мое решение приемлемо:

• Runas сохранить учетные данные на уровне пользователя - если я сохраню учетные данные, как только я смогу запустить любое приложение как привилегированный пользователь.
• Ограничение приложения, установленное политиками (User Configuration > Administrative Templates > System > Run only specified Windows applications) работают на системном уровне и не зависят от путей приложения.

Кажется, все, что мне нужно, это какой-то runas с учетными данными, сохраненными для каждого приложения. Есть ли способ - предпочтительно функциональность ОС - решить мои проблемы?

Отредактировано: исправления и уточнения.