если ты имеешь в виду загрузку с одного неизменного загрузочного образа, то можно

Отобрать права админов

отобрать права админов, не панацея - не все программы требуют установки, думаю атор приследуя цель "присечь несанкционированные установки игрушек и прочего...", не совсем типовой подход использует

Если основываться на цели, то однозначно терминальное подключение например к серверу с Win2003, и всегда есть возможность удаленно посмотреть чем юзвери занимаются, и права более гибко настроить для каждого. Если уже есть компы, то тариться тонкими клиентами смысла нет, просто оставить на локальных компах только Винду и все!

Можно восстанавливать предыдущее состояние системы. Для этого есть даже аппаратные средства

вопрос поставлен крайне неграмотно, из чего видно что вопрошающий плохо вообще понимает предмет обсуждения. Как Вы себе представляете "загрузку с одного компьютера"?

>>Цель: присечь несанкционированные установки игрушек и прочего...

Так это совершенно другой вопрос! Самое простое и действенное средство (коли пока в техническом/теоретическом аспекте не разбираетесь), это поставить вопрос перед начальством, чтобы именно от него исходил запрет с перспективой наказаний... Начальству самому виднее, как наказывать. Проще всего рублём: поставил себе что-то пользователь - штраф! Пару раз штрафанут, желание пропадёт.

Если клиенты работают на WinXP, то ограничить их действия можно использованием пользоательских политик (самый простой вариант - не давать прав администратора), второй вариант - домен и раздавать политики централизованно, третий вариант - тонкие клиенты на Linux с автоматическим подключением к Win-серверу в терминальном режиме + те же ограничения.