Kicsit utánakerestem/gondolkodtam.
pdf readernek egy bat file " runas /noprofile /user:pdf "pdfreader.exe %1" "
a pdf user egy olyan csoportban aminek minden filehozzáférést megtagadsz, kivéve olvasni a pdf-es könyvtáradat. (ez felülírja az everyone csoporthoz tartozó olvasási-írási jogokat)
A hálózati hozzáférést pedig valami tűzfallal korlátozod le.
Azt hiszem ez is elég, de lehet hogy egy felhasználótól is meg lehet tagadni a hálózati forgalmat.
Az talán azért lenne jobb, mert nem függene egy 3rd party komponenstől.
Nem azt kérem, hogy leakelj többet, csak kíváncsi vagyok, hogy ez működőképes megoldás-e :)