Provavelmente, o que você está enfrentando é um recurso do ciclo de salvamento da maioria dos programas. É assim:
- Remover arquivo antigo.
- Crie um novo arquivo com dados atualizados.
Alguns formatos (o Access é um) realmente modificam o arquivo existente com os novos dados, e eles provavelmente ficariam bem com suas permissões.
No entanto, todos os formatos do MS Office (exceto os do banco de dados) fazem o método delete / create de 'saving'. Isso significa que você deve incluir o direito Excluir para diretórios destinados a conter arquivos do Office.
Isso apresenta um problema sério se você estiver tentando se defender contra ataques de profanação de dados por parte de atores internos. O método tradicional de lidar com esse problema é não conceder Exclusão a grupos que não devem ter, mas fazer conceder como parte do conjunto de permissões "Criador Proprietário" ; isso permite aos criadores de arquivos a capacidade de excluí-los, o que, por sua vez, permite que o ciclo de salvamento funcione.
icacls M:\SecureDir /grant *S-1-3-0:(io)(d)
Que concederá ao Proprietário criador o direito Excluir a objetos criados sob M: \ SecureDir.