Windows 도메인 사용자가 홈 디렉터리 하위 디렉터리를 삭제하지 못하도록 방지하는 가장 좋은 방법은 무엇입니까?

저는 주로 Windows 7 Professional 클라이언트를 사용하는 Windows Server 2012 R2 도메인 컨트롤러에서 작업하고 있습니다.

저는 최근에 폴더 리디렉션과 사용자 프로필 로밍을 설정하여 각 도메인 사용자가 자신의 사용자 프로필과 문서를 모두 저장하는 네트워크 공유에 폴더를 갖게 되었습니다. 이러한 사용자 폴더에는 다음과 같은 형식이 있습니다.

D:\Users\%USERNAME%

파일 서버에서 그리고 그에 따라

\\MYSERVER\Users\%USERNAME%

도메인에서.

이 폴더는 사용자가 처음 로그인할 때 자동으로 생성되며 "응용 프로그램 데이터", "내 문서", "링크", "연락처" 및 "Profile.V2"를 포함한 모든 일반적인 의심 항목을 포함합니다.

이러한 모든 하위 폴더는 도메인 그룹 정책에 지정된 대로 사용자가 처음 로그인할 때 자동으로 생성됩니다. 특히 "Profile.V2"를 제외한 모든 하위 폴더는 폴더 리디렉션 정책의 결과입니다. "Profile.V2"는 로밍 사용자 프로필 정책의 결과입니다.

이 모든 것을 달성하기 위해 NTFS 권한을 설정했습니다.

D:\Users\%USERNAME%

Microsoft(지금은 어디에 있는지 기억이 나지 않습니다!)와 수많은 기타 파생 블로그 게시물에서 권장하는 대로입니다. 이러한 권한은,

Disable Inheritance

Allow - SYSTEM - Full Control - This Folder, Subfolders and Files
Allow - Administrator - Full Control - This Folder, Subfolders and Files

Allow - CREATOR OWNER - Full Control - Subfolders and Files

Allow - MyUserGroup - Special (List Folder / Read Data; Create Folders / Append Data) - This Folder Only

이것은 한 가지 문제가 있지만 나에게 잘 작동합니다. 사용자가 로그온하고 폴더 구조가 지정된 대로 생성되면 사용자는 자연스럽게 이러한 폴더를 원하는 대로 삭제할 수 있는 권한을 유지합니다. 이는 사용자가 실수로 또는 다른 방법으로 삭제(예: "데스크톱")할 수 있음을 의미합니다. 이로 인해 "Desktop" 폴더의 내용이 손실될 뿐만 아니라 다음 로그인 시 폴더 리디렉션도 중단됩니다.

내 질문은 사용자가 이러한 최상위 사용자 하위 폴더("Desktop", "Contacts", "Profile.V2" 및 나머지)를 삭제하지 못하도록 하는 가장 좋은 방법은 무엇입니까?상위 폴더에 대한 대체 권한을 실험했지만 이로 인해 사용자가 처음 로그인할 때 자동 폴더 생성이 필연적으로 중단되었습니다. 또한 스크립트를 사용하여 사용자가 처음 로그인한 후 프로그래밍 방식으로 이러한 하위 폴더에 대한 권한을 조정하려고 시도했지만 표시가 계속 누락되었습니다(Powershell을 사용하여 ACL을 수정하는 것은 골치 아픈 작업임이 입증되었습니다).

여기서 모범 사례 솔루션은 무엇입니까? 물론 이 문제에 직면한 사람이 나 혼자일 수는 없습니다!