Você está ativando a herança desse item separadamente de suas entradas da ACL. Isso significa que ele receberá ACEs de seu pai. Não há absolutamente nada a ser feito para saber se ele dará suas próprias ACEs customizadas para serem herdadas por crianças.
Você precisa marcar a entrada each da ACL como herdável, separadamente para arquivos-filhos (herdar objetos) e pastas-filhas (herdar o contêiner):
icacls foo /grant Everyone:(OI)(CI)F
Isso é equivalente à lista suspensa "Herdar: [Arquivos e subpastas]" em Propriedades - Segurança - Avançado .
Quando você adiciona ACEs marcadas como herdáveis, os icacls os propagam automaticamente e a opção /T é desnecessária (talvez até um pouco prejudicial).