Como Graham apontou, usar várias entradas de permissões para o mesmo usuário (algo que eu nunca havia experimentado antes) era a chave aqui:
As permissões na pasta pai dão aos usuários liberdade quase absoluta para fazer qualquer alteração ... exceto que a caixa "excluir" está desmarcada - para que os usuários não possam excluir / mover / renomear esta pasta importante por acidente:
Passando para a segunda permissão definida para o mesmo usuário (que não se aplica à pasta em si, mas ao seu conteúdo), vemos exatamente os mesmos direitos concedidos ao usuário, incluindo privilégios de "exclusão".
Portanto, os usuários podem fazer o que quiserem com as subpastas e arquivos, inclusive excluindo / movendo / renomeando-os.
Essa configuração permite proteger pastas importantes, como diretórios de verificação de destino personalizados que residem nos locais de rede pessoal do usuário. Os usuários podem modificar o conteúdo (como excluir PDFs de digitalizações que não desejam mais manter), mas não podem causar problemas inadvertidamente excluindo uma pasta que o scanner espera ver ao salvar na rede.
Eu tive que desativar a herança para a pasta especial, pois, caso contrário, não era possível fazer alterações nas permissões do usuário, que variavam da raiz do compartilhamento de rede; no entanto, todas as sub pastas e objetos de fazer uso de herança, a fim de obter as permissões de sua pasta pai.
Depois que eu descobri exatamente o que precisava ser feito, isso levou apenas alguns minutos para se ajustar a cada usuário. Agora, tenho a tranqüilidade de saber que as principais pastas de rede não podem ser excluídas acidentalmente pelos usuários.