NTFS: o usuário pode editar / excluir arquivos sem direitos

Eu tenho um fenômeno de direitos NTFS muito estranho em um servidor de arquivos e não consigo encontrar meu erro, puxando meu cabelo por horas agora. O que estou perdendo?

Meu objetivo é:

• O usuário do Group-A deve poder gravar novos arquivos / dobras em uma pasta ("adicionar arquivos"). Eles também devem poder editar os arquivos recém-adicionados.
• À noite, os arquivos recém-adicionados devem ser "protegidos" de edições / exclusões adicionais pelo Grupo-A. O direito de ler os arquivos e o direito de adicionar mais arquivos novos devem permanecer.

Aqui está o que eu fiz:

• Criar grupo-A, adicionar usuários
• Conceda ao Grupo-A (F) acesso total à pasta
• Crie um script que
  • exclui o bit de herança dos arquivos na pasta
  • remove (F) o acesso total aos arquivos, deixando apenas direitos de leitura

O problema é que meu (s) usuário (s) pode editar e excluir arquivos como se tivessem acesso total. Mesmo que as 'permissões efetivas' não mostrem o direito de editar, o ainda pode.

O script funciona bem e é assim:

icacls d:\folder\Bild1.jpg /inheritance:d
icacls d:\folder\Bild1.jpg /remove:g Group-A"

Após o script ser executado, a permissão NTFS em file.jpg é semelhante a esta (parece correto para mim):

Omesmoacontececomasaídaicacls:

d:\folder>icaclsBild1.jpgBild1.jpgWM\DomainAdmin:(F)WM\Domänen-Admins:(F)WM\Group-A:(RX)

Aguiadepermissõesefetivasdessearquivomostraexatamenteamesmacoisa(direita):

As permissões para a pasta pai, os usuários devem poder adicionar arquivos aqui, assim:

Artweger WM\Group-A:(I)(OI)(CI)(F)
         WM\Domänen-Admins:(I)(OI)(CI)(F)

Se este usuário se conectar (ele é apenas em dois grupos, Usuários de Domínio e Grupo-A), ele poderá editar, excluir, renomear e mover o arquivo bild1.jpg. Como isso é possível? O que o NTFS faz com meus planos gloriosos?