Ich hab bisher 2 Lösungsmöglichkeiten für solche probleme gesehen.
Die erste steht oben, userrechte für vom programm benötigten Registry einträge. Um herauszufinden welche reg einträge das programm zugreift, gibt es tools, die das mitschreiben wenn das programm läuft. Such einfach mal danach.
Eine andere Methode ist so ähnlich wie ihr es macht, man erlaubt den usern alles und anschließend verbietet man die sahcen die sie nicht dürfen.
Methode 1 ist die sichere ist aber vom aufwand recht ehftig.
Methode 2 birgt das risiko das man nicht alles berücksichtig und evt noch rechte über bleiben die da nicth hin solllen.
dafür ist methode 2 aber Programm unabhängig.
cu