La directiva la encontramos en Configuración de usuario\Directivas\Plantillas Administrativas\Sistema.
Con esta directiva conseguiremos que los usuarios no accedan a modificar el registro de Windows.
Una vez habilitada la directiva, si un usuario intenta ejecutar regedit obtendrá un mensajito como este:
Con sólo habilitarla no impediremos el uso del modo silencioso, es decir, un usuario podría ejecutar algo así como, regedit.exe /s archivo.reg para añadir claves al registro.
Por ello, hay que marcar SI en la opción de ¿Desea deshabilitar la ejecución sin notificación de regedit? para impedir tanto que ejecute regedit como para la ejecución del modo silencioso.