Wenn man einen schon bestehenden eigenen "Programme"-Ordner in den Rechten beschränkt (wie auf S. 85 rechts oben beschrieben), dann sollten man das m.E. gleich auch für die Unterordner mit erledigen, weil diese sonst 1. nicht geschützt sind bzw. 2. bei "Regeln prüfen" als nicht erlaubt mit aufgenommen werden - was man beides nicht will.
Ich habe das so hinbekommen:
$acl = get-acl 'C:\Program Files\'
Get-ChildItem -Path 'D:\Programme' -recurse | Set-Acl -AclObject $acl