Pode ser conseguido de forma diferente, manipulando permissões avançadas e permissões de herança.
Por exemplo, como eu faço isso para o usuário mmv e teste de pasta
D:\empty\test>icacls .
VS2K8TS\mmv:(OI)(CI)(IO)(F)
VS2K8TS\mmv:(RX,W,DC)
BUILTIN\Administrators:(I)(OI)(CI)(F)
NT AUTHORITY\system:(I)(OI)(CI)(F)
CREATOR-OWNER:(I)(OI)(CI)(IO)(F)
Eu só adiciono permissões para mmv. Então mmv quase como administrador nesta pasta, mas incapaz de excluir a própria pasta.
Atente para o usuário (mmv) com dois registros acl avançados, para a própria pasta e para subpastas e arquivos.