Здравствуйте, Alex81!
Используя групповые политики, Вы можете максимально ограничить права пользователей на использование дискового пространства. В оснастке AD пользователи и компьютеры на том контейнере, в котором находятся учетные записи пользователей щелкаем правой кнопкой и на закладке "Групповая политика" щелкаем по кнопке "создать". Если у Вас установлен редактор групповых политик, тогда на этой закладке нажимаем кнопку "Открыть". В редакторе создаем новую политику, которую потом привяжете к нужному контейнеру. Так или иначе, создаёте групповую политику, для определенности назовем её "Denied".

Выполняем перенаправление папок (Конфигурация пользователя-Конфигурация Windows-Перенаправление папок.
1. Рабочий стол направляем в каталог, доступный пользователям только для чтения и выполнения, где размещаем необходимые им ярлыки (Если пользователи будут иметь возможность накидывать что угодно на рабочий стол, тогда вскоре все компьютеры, использующие его начнут безбожно тормозить, так как периодически система производит обновление рабочего стола, проверяя ВСЕ объекты, расположенные на нем).
2. Папку Мои документы - в Ваш каталог, где они имеют право на запись.
3. Можно перенаправить папку Главное меню. Только при первом входе пользователя туда скопируются все ярлыки из папки DEFAULT USERГлавное меню. Если бы это был один компьютер, можно было бы оттуда предварительно все удалить, однако у Вас их 36...

С помощью ограниченного использования программ запрещаем доступ к файловым менеджерам.
Конфигурация компьютера-Конфигурация Windows-Политики ограниченного использования программ.
Создаем политики огрниченного использования программ, где запрещаем запуск всем, кроме администраторов, файловых менеджеров (либо правило пути, либо правило хэша - как Вам будет удобнее). Например, указываем путь до TOTALCOMMANDER и выбираем "запрещено".

Лишаем пользователей доступа к диску C (d,e,f, и т.д.) через проводник.
Конфигурация пользователя-Административные шаблоны-Конфигурация Windows-Проводник Windows
В параметре "Скрыть указанные диски в Мой компьютер" указываем "скрыть все диски".
Примечание: Это не ограничит доступ к дискам из других программ, например из Word можно будет выбрать "Сохранить как" и уложить файл куда угодно.

Выставляем права доступа ко всем локальным дискам только чтение и запуск, исключая личную папку пользователя в Documents&Settings.
Конфигурация компьютера-Конфигурация Windows-Параметры безопасности-Файловая система.
Здесь и указываем требуемые права.

Далее можно закрыть доступ к пункту меню - сервис и к контекстному меню проводника во избежание самостоятельного подключения и отключения сетевых дисков. Эти возможности находятся также в ветке
Конфигурация пользователя-Административные шаблоны-Конфигурация Windows-Проводник Windows

Если Вы внимательно посмотрите другие настраиваемые параметры групповых политик, несомненно, сможете достигнуть более оптимального результата.

[u]Дополнение!!![/u]
Данную политику необходимо применить не только к контейнеру, содержащему пользователей, но и к контейнеру с их компьютерами. Причем желательно, чтоб это были отдельные контейнеры (отдельно от других пользователей или компьютеров).