Jeśli problem leży w umiejętnościach uzytkowników, to np. przesłoń polecenie mv jakimś mniej lub bardziej użytecznym aliasem lub funkcją o takiej nazwie gdzieś w /etc/bash.bashrc (uwarunkowaną tym, kto jej używa, by roota wykluczyć). Jeśli ktoś użyje pełnej ścieżki /bin/mv, ominie oczywiście tę sztuczkę.
Chciałbym jednak zwrócić uwagę na coś takiego jak bit sgid dla katalogów. Jeśli ustawisz go (chmod g+s kierownicy pracownicy, przy okazji dasz grupie prawa do zapisu w danym katalogu), a katalogom tym dasz grupę np. personel, to nowo tworzone pliki (w tym katalogi) będą miały ustawianą grupę personel i podczas przesuwania nie byłoby już problemów z dostępem. Warunek tylko, by plik powstał w takim katalogu z sgidem (zapisanie strony HTML w przeglądarce do tego katalogu dało taki efekt). Jeśli taki "kierownik" wrzuci tam plik z płytki, sposób na nic. Co z istniejącymi już plikami? Jednorazowo możesz zmienić im grupę sam.
Problemem może być tu nadanie zbyt dużych uprawnień - ale bezwiedzy czego dokładnie nie mogą posczególni użytkownicy i dla jakich plików, to tylko próżna spekulacja.
Polecenie cpio, którym można by zamaskować cp lub mv, może dać ciekawe możliwości, szczególnie w połączeniu z sgid. Sam go jednak używałem kilka razy w życiu.
Polecenie mv ludzie opanowali, a z chgrp mieliby problem? Nie wystarczyłoby "szkolenie" w postaci kilkunastu linijek wyjaśnienia z przykładem? Obyłoby się bez maskowania poleceń, a człowiek zmieniałby grupę tylko wybranym plikom.