[NTFS] Запрет записи в корень системного диска для терминальных пользователей с помощью командной строки

По умолчанию на сервере терминалов Windows Server 2008 R2 пользователи имеют права создания папки в корне системного диска. Чтобы каталоги не росли как грибы, я изначально после развертывания очередного терминального сервера ограничиваю это право для них удаленно с помощью команды:

icacls \\TS\c$ /inheritance:d /deny "DOMAIN\Domain Users":(DE,WD,AD,DC)

Понятно, что вместо группы Domain Users можно создать и использовать другую группу, например, Terminal Users.
 
Аналогичные действия я выполняю и для публичных папок: 

icacls "\\TS\c$\users\public" /inheritance:d /deny "DOMAIN\Domain Users":(DE,WD,AD,DC) 
icacls "\\TS\c$\users\public\libraries" /inheritance:d /deny "DOMAIN\Domain Users":(DE,WD,AD,DC) 
icacls "\\TS\c$\users\public\documents" /inheritance:d /deny "DOMAIN\Domain Users":(DE,WD,AD,DC) 
icacls "\\TS\c$\users\public\music" /inheritance:d /deny "DOMAIN\Domain Users":(DE,WD,AD,DC) 
icacls "\\TS\c$\users\public\pictures" /inheritance:d /deny "DOMAIN\Domain Users":(DE,WD,AD,DC) 
icacls "\\TS\c$\users\public\videos" /inheritance:d /deny "DOMAIN\Domain Users":(DE,WD,AD,DC)

Теперь группа Domain Users не может создавать папки и удалять файлы в корне вышеперечисленных папок. 

PS: Если еспользовать группу по умолчанию Everyone, то некоторые программы, например Microsoft Office не смогут быть установлены, так как при установке ведут запись в корень системного диска.