Windows ドメイン ユーザーがホーム ディレクトリのサブディレクトリを削除できないようにする最善の方法は何ですか?

私は主に Windows 7 Professional クライアントを搭載した Windows Server 2012 R2 ドメイン コントローラーで作業しています。

私は最近、フォルダリダイレクトとユーザープロファイルローミングを設定しました。これにより、各ドメインユーザーはネットワーク共有上にフォルダを持ち、そこにユーザープロファイルとドキュメントの両方を保存できます。これらのユーザーフォルダには、

D:\Users\%USERNAME%

ファイルサーバー上で、それに応じて、

\\MYSERVER\Users\%USERNAME%

ドメイン上。

これらのフォルダは、ユーザーの初回ログイン時に自動的に生成され、「アプリケーション データ」、「マイ ドキュメント」、「リンク」、「連絡先」、「Profile.V2」など、一般的なファイルがすべて含まれています。

これらのサブフォルダーはすべて、ドメイン グループ ポリシーで指定されているように、ユーザーの最初のログイン時に自動的に生成されます。具体的には、「Profile.V2」を除くすべてのサブフォルダーはフォルダー リダイレクト ポリシーの結果であり、「Profile.V2」は移動ユーザー プロファイル ポリシーの結果です。

これを実現するために、NTFS権限を設定しました

D:\Users\%USERNAME%

これはMicrosoft（今はどこだったか思い出せない！）や数え切れないほどの他の派生ブログ投稿で推奨されている。これらの権限は、

Disable Inheritance

Allow - SYSTEM - Full Control - This Folder, Subfolders and Files
Allow - Administrator - Full Control - This Folder, Subfolders and Files

Allow - CREATOR OWNER - Full Control - Subfolders and Files

Allow - MyUserGroup - Special (List Folder / Read Data; Create Folders / Append Data) - This Folder Only

これは私にとってはうまく機能しますが、1 つの問題があります。ユーザーがログオンし、フォルダー構造が指定どおりに生成されると、当然、ユーザーはこれらのフォルダーを自由に削除する権限を保持します。つまり、ユーザーは、誤って、または何らかの理由で、たとえば「デスクトップ」を削除する可能性があります。これにより、「デスクトップ」フォルダーの内容が失われるだけでなく、次回のログイン時にフォルダーのリダイレクトが中断されます。

私の質問は、ユーザーがこれらの最上位レベルのユーザー サブフォルダー (「デスクトップ」、「連絡先」、「Profile.V2」など) を削除できないようにする最善の方法は何ですか?親フォルダーの代替権限を試してみましたが、ユーザーの初回ログイン時に自動フォルダー生成が中断されてしまいます。さらに、スクリプトを使用してユーザーの初回ログイン後にプログラムでこれらのサブフォルダーの権限を調整しようとしましたが、うまくいきません (Powershell を使用して ACL を変更するのは、かなり面倒な作業です)。

ここでのベストプラクティスの解決策は何でしょうか? この問題に遭遇したのは私だけではないはずです!