Al final el problema de las librerías y favoritos lo he solucionado con un script de inicio de sesión de usuario en el TS, de forma que oculta dichos enlaces
(mañana si puedo pongo los scripts, aunque son muy simples pero a alguien le puede ayudar la idea)for /F %%a in ('dir %userprofile%\Appdata\Roaming\Microsoft\Windows\Libraries\ /b') do attrib +h %userprofile%\Appdata\Roaming\Microsoft\Windows\Libraries\%%a
for /F %%b in ('dir %userprofile%\Links\ /b') do attrib +h %userprofile%\Links\%%b
Sin embargo tengo otro problema: por defecto el dialog de abrir/guardar se va a la biblioteca documentos (aunque esté oculta), por lo que ahí pueden escribir...
Esto lo voy a solucionar con otro script de inicio de sesión, dando a los usuarios permisos de solo lectura sobre su perfil. Aún tengo que comprobar que esto finalmente funcione correctamente (por ejemplo, si no me va a dar problemas cuando un usuario que aún no tiene su perfil creado en el TS se loguee y lo cree...). Este script tengo que limitarlo a usuarios que no sean administradores, y como el TS no es servidor de dominio no puedo tirar del comando "net group" para sacar la lista de admins del dominio... por lo que tengo que introducirlo manualmente en el script...
Mañana si puedo cuelgo ambos scriptsIF "%username%"=="Administrador" GOTO fin
IF "%username%"=="Admin2" GOTO fin
IF "%username%"=="Admin3" GOTO fin
IF "%username%"=="Admin4" GOTO fin
cacls %userprofile% /T /E /P %username%:R
:fin
Un saludo