Por que meu usuário de domínio pode gravar em uma pasta sem permissões de “Gravação” para o grupo “Usuários”?

Eu tenho um usuário de domínio comum chamado DKFOO , que é capaz de escrever na pasta C:\Program Files\Common Files\Apple\Movile Device Support depois de receber uma senha.

Como administrador de domínio, não desejo permitir que usuários do domínio escrevam neste diretório.

A permissão Write não está ativada para Users , então por que DKFOO pode gravar neste diretório?

Os usuários do domínio estão incluídos em Users ? Se não, por que as permissões para usuários de domínio não estão listadas para a pasta?

icacls:

PSC:\ProgramFiles\CommonFiles\Apple\MobileDeviceSupport>icacls"C:\Program Files\Common Files\Apple\Mobile Device Support"
C:\Program Files\Common Files\Apple\Mobile Device Support 

    NT SERVICE\TrustedInstaller:(I)(F)
    NT SERVICE\TrustedInstaller:(I)(CI)(IO)(F)
    NT AUTHORITY\SYSTEM:(I)(F)
    NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
    BUILTIN\Administrators:(I)(F)
    BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
    BUILTIN\Users:(I)(RX)
    BUILTIN\Users:(I)(OI)(CI)(IO)(GR,GE)
    CREATOR OWNER:(I)(OI)(CI)(IO)(F)
    APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
    APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)
    APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(RX)
    APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APPLICATION PACKAGES:(I)(OI)(CI)(IO)(GR,GE)