Политика ограниченного использования программ (запретить все, кроме) (ярлыки рабочих столов, панели быстрого запуска, панель управления и т.д.)

Windows server 2016 \ Windows 10. Появилась необходимость, ограничить пользователям запуск посторонних приложений. В политике безопасности, я запретил все посторонние приложения и создал отдельные разрешающие правила для некоторых папок и конкретных *.exe файлов. Все работает как нужно за исключением тех ярлыков, которые не находятся в уже разрешенных путях. (например общий рабочий стол)
Проблема:
Разрешенные посторонние приложения, не запускаются через ярлыки на приложения и файлы из рабочих столов, из панели управления(административные инструменты), а так же из панели быстрого запуска на панели задач и начального экрана (плитки)
Вопрос:
Как разрешить запуск ярлыков панели управления, ярлыков из панели быстрого запуска и плиток начального экрана... учитывая, что последние, у каждого пользователя свои.


Решение:
Важно! Для нормальной работы приложений которые были установлены в папки "ProgramFiles", при их запуске с ярлыка, необходимо Обязательно, кроме разрешения самих ярлыков, указать разрешающие правила для путей:
C:\Program Files
C:\Program Files (x86)
это же касается других путей в которых лежат пусковые исполняемые файлы либо указать конкретные пусковые файлы которые будут запущены с ярлыков. 
Для разрешения только ярлыков из "Администрирования" необходимо добавить правило для пути:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\*.lnk
Для разрешения только ярлыков из панели быстрого запуска у любого из пользователей:
%USERPROFILE%\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\*.lnk
во втором случае используется переменная возврата пути к папке текущего пользователя. это необходимо если нужно разрешать любые ярлыки которые создает пользователь по определенному пути. в данном случае Панель быстрого запуска.
Если из путей убрать *.lnk то разрешено будет Всё что находится по этому пути и глубже. 
Для ярлыков рабочего стола, списка программ, начального экрана и других стандартных папок с ярлыками каждого из пользователей, необходимо так же создать правила. 
Правила для ярлыков которые я создал дополнительно для разделов папок пользователей:
%USERPROFILE%\AppData\rouming\Microsoft\Windows\*.lnk
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\*.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs
Последняя строчка разрешит любые общие файлы и ярлыки на приложения, созданные по пути "C:\ProgramData\Microsoft\Windows\Start Menu\Programs" и глубже. Так как права на запись в этот каталог есть только у администратора, то и указывать каталоги по отдельности не обязательно. Если только нет необходимости запретить администраторам любые исполняемые файлы по мимо ярлыков.