Uma conta não precisa necessariamente ser um membro de grupos para receber permissões que não são especificamente definidas; Os grupos Authenticated Users
e Pre-Windows 2000 Compatible Access
são alguns exemplos comuns.
Se você puder postar a lista de permissões do diretório, excluindo informações particulares, isso pode ajudar a encontrar a origem.