Em teoria, você não precisa dar aos usuários permissões de NTFS na subpasta, apenas no próprio arquivo mdb. O direito de usuário Bypass Traverse Checking
(que todo usuário tem por padrão) permitirá que o aplicativo / usuário acesse o arquivo mdb sem ter nenhuma permissão para a subpasta (ou a pasta pai para esse assunto). Isso significa que você pode configurar o DNS ODBC do aplicativo com o caminho para o arquivo mdb sem conceder aos usuários acesso direto à (s) pasta (s) onde o arquivo existe.