Если на NTFS - проблема решается установкой прав на папку c:\Documents and Settings\%USERNAME%\Рабочий стол (в плане запретить создавать вообще что-либо). На FAT не получится.
Запретить создавать по маске - нельзя. Нет такой фичи.
Но можно отучить: во входной скрипт домена (или просто в автозагрузку, или в локальные политики - вариантов довольно много) вставить команду, удаляющую всё барахло с рабочего стола по соответствующей маске (естественно,
заранее довести это до пользователей). Или, как вариант, не удаляет, а перемещает в папку, до которой замучаешься добираться или в папку с говорящим именем d:\Помойка или даже в место, доступное только админу...
В общем, включай фантазию...
