Ja, man kann natürlich in den NTFS-Rechten sagen, dass einem bestimmten Benutzer mit Adminrechten der Zugriff verweigert wird. Aber das kann der ja wieder aufheben.

Mein Szenario: Ich habe einen Laptop den ich verleihen möchte. Der ausleihende soll einen Account bekommen. Und da er auch Software installieren können soll, braucht er ja Administratorrechte. Er sollte aber nicht in meinem Benutzerordner herumwühlen können.

Ja, ich weiß dass das kein "echter" Schutz ist, es geht nur darum, es zu erschweren. Geht das überhaupt? Kann mir hier die mysteriöse Benutzergruppe (lusrmgr.msc) "Hauptbenutzer" weiterhelfen?

Nein.

Ein Admin hat vielleicht nicht alle Rechte, er hat aber das Recht, sich alle Rechte zu verschaffen. Wenn deine Daten privat bleiben sollen, verschlüssele oder lösche sie.

Stimmt, aus Sicht des Dateisystems kann man jedem über die Dateisystemrechte alles verweigern,

Und über die Benutzerrechte kann ihm auch noch das Recht nehmen, die Dateisystemrechte zu übernehmen und zurückzusetzen.
> Besitz übernehmen (Besitzer der Datei/Verzeichnis auf sich ändern)
> als Besitzer hat man wieder mehr Rechte und könnte die Zugriffsrechte ändern, da man dann das Recht hat (Zugriffs)Rechte zu Ändern.

Im Grunde kann man dem Benutzer "Administrator" oder der Gruppe "Administratoren" alles verbieten, so daß er am Ende sogar weniger dürfte, als ein einfacher Benutzer/Gast.

Mein Tipp: Verleih dein Laptop nicht. Denn besser wird es dadurch garantiert nicht.
Aber wenn Du z.B. unter Androhung von Bierkästen o.ä. dazu gezwungen wirst: Sichere alles Persönliche und lösche den Ordner. Dann ist Ruhe.

Lustig wird das, wenn Du deinen Laptop verseucht zurück bekommst. Ich hab das mal mit meiner Tochter gemacht.
Neeeein, ich hab nicht [b]sie[/s] verliehen, sondern ihr den Laptop.
Und auch nicht [b]sie[/s] kam verseucht zurück, sondern der Laptop.

Ich weiß also, wovon ich spreche.

Ich hab mich noch nie intensiv damit beschäftigt, aber mglw. wären die Policies ein Hebel. Mit den Policies kann man ein Windows System ziemlich vernageln, evtl. das "Besitz übernehmen" verbieten.
Sinnvoll könnte es auch sein, den fraglichen Account als normalen User einzurichten, der "alles darf" was die eben so dürfen und für Installationszwecke einen separaten Admin Account anzulegen, den der normale User dann verwenden muss. Dann muss natürlich dieser Account weitgehend eingeschränkt werden.
Die 2 Account Technik verhindert jedenfalls erstmal unbeabsichtige Infektionen oder Drag and Drop Kamikaze wenn man sich morgens den heißen Kaffee in der Linken über den rechten Unterarm schüttet.

Problematik mit den Policies ist allerdings, dass man dass vielleicht nicht mal eben an einem Tag sauber- also wasserdicht- hinbekommt.

Viel zu viel Aufwand ... so wie die Vorredner geschrieben haben: Daten sichern, Daten löschen und gut ist. Hauptsache man erwischt dann alle persönlichen Dinge (habe selber auch Dokumenten-Ordner von der SSD weg auf die Platte gelegt und somit sind sie nicht mehr im User-Directory).

Einfache Lösung:
* BIOS/EFI/UEFI absichern (damit man z.B. die Bootreihen nicht ändern und so ein externes LiveOS starten kann)
* Und im Windows dem "Gast" nur die nötigen Rechte geben.

Naja, die eigene Datensicherung byw. das *vollständige" Entfernen ist schon für sich ein Aufwand (jenachdem wie man so Ordnung hält), gespeicherte Passwörter im Browser nutzt usw. usf.
Gelöst ist dann immer noch nicht, wie und ob der Ausleiher den Rechner verseucht.
Das Internet bietet auf die Schnelle folgenden Vorschlag für die Nutzung der Policies. Ist zwar für XP, aber da kann man sicher noch mehr finden je nach benötigter OS Version und gewünschtem Absicherungslevel.
http://www.wikihow.com/Disable-Take-...-in-Windows-XP

eigenes Benutzerkonto für den Ausleiher > eigene Browsereinstellungen > getrennte Paswortlisten usw.
> automatisch gesperrte Verzeichnisse in den Standardbenutzerverzeichnissen (unter C:\Users)

Das Problem ist doch nicht das neue Konto, klar dass das eigene (Browser)Pw hat- wär ja sonst auch ne Katastrophe-, sondern dass dieses neue Konto auch Admin sein soll. Der kann das PW des Verleiher Kontos ändern und sich dann dort anmelden.