A solução foi encontrada ao restringir algumas antigas ACLs que foram deixadas flutuando no AD. Os usuários estranhamente tinham as permissões efetivas corretas, mas algo sobre essas ACLs estava atrapalhando. Assim que os removi ou atualizei, tudo funciona como esperado agora.