Parece que você tem uma boa estratégia com a forma como descreveu a permissão Negar. Se você configurar um acesso total permitido para Administradores e para o Grupo de Contabilidade, qualquer pessoa fora disso já não terá acesso a essa pasta. Geralmente, a Microsoft diz para ficar longe das permissões Deny, já que se um usuário for membro de um grupo permitido, mas também membro de um grupo de negação, a negação será vencida.