Буков много, смысла мало, очень сумбурно.
Правила простые, независимые от ОС
Права должны даваться минимально возможные.
В случае с корнем, только для системы и администратора, остальным в лучшем случае только чтение. Для програмных папок аналогично, всем только чтение, администратору и системе полные. Системе всегда и везде полные, администратор кое где может быть ограничен, но на то он и администратор, что бы изменить ситуацию.

Наглядный пример папка "System Volume Information" права только у системы.

Да с ними не все так очевидно, но правила распространяются и на них, не давать прав больше чем требуется и больше ничего. Это основное правило. Для начала права на папку Program Files ограничить только чтением и индивидуально повышать права для отдельных приложений.
Тяжелее с папкой Windows там очень много особенностей. Но если обычные пользователи могут работать, то и power users тоже.

Вот куда бы я разрешил полные права, так это на папку Documents and Settings для конкретного пользователя и для всех пользователей (All Users) и конечно папку TEMP, но если не создавать отдельную папку, то так и есть, у каждого своя.

Наиболее просто это не давать пользователю прав выше обычного пользователя, давая права power users на исключительной основе и все равно ограничить на папку с программами. С папкой Windows можно попробовать совсем убрать power users и если потребуются расширеные права то выдать индивидуально пользователю, а не всем.

К сожалению это требует много усилий индивидуально по пользователям.