Lokale Userrechte für User von Netzlaufwerken einschränken

Hallo,
ich sichere alle meine Windows-Rechner mit Macrium Reflect auf eine SMB-Freigabe auf einem Windows Server. Als Anmeldedaten verwendet jeder Rechner speziell für den Rechner angelegte Usercredentiels auf dem Server. Diese Anmeldedaten sind auf dem jeweiligen Windowsrechner natürlich abgespeichert, um die Datensicherung zu ermöglichen. Ich möchte nun für den Fall, dass einer der Rechner sozusagen kompromitiert wird, den Schaden auf dem Server gering halten. Sprich, die jeweiligen Accounts der Datensicherung sollen auf dem Server nur soviele Rechte haben wie sie für das Schreiben und Lesen auf der SMB-Freigabe benötigen. Hat dafür jmd zufällig eine Liste?
Der Server soll da jetzt nicht 100% dicht gemacht werden, aber ein paar Schrauben würde ich da schon drehen.

Bisherige Ideen:
- Standarduseraccount (würde ich Gästerechte gewähren, würde der Netzwerkzugriff blockiert)
- Lokale Anmeldung und Anmeldung via RDP verweigern
- Anmelden als Dienst verweigern
- Zugriff auf C verweigern
- Zugriff nur auf die Freigabe, die auf Laufwerk D liegt, gewähren

Jeden User ein eigenes Verzeichnis zuweisen.
Wenn was passiert ist nur die Sicherung des jeweiligen Computers weg.

Gute Idee. Damit sollte man dann auch einiges abgedeckt haben.