NTFS: пользователь может редактировать / удалять файлы без прав

У меня очень странное явление прав NTFS на файловом сервере, и я не могу найти свою ошибку, тянув меня за волосы в течение нескольких часов. Что мне не хватает?

Моя цель:

• Пользователь из группы А должен иметь возможность записывать новые файлы / папки в папку ("добавлять файлы"). Они также должны иметь возможность редактировать эти недавно добавленные файлы.
• Ночью вновь добавленные файлы должны быть "защищены" от дальнейшего редактирования / удаления Группой-А. Право читать файлы и право добавлять новые файлы должны остаться.

Вот что я сделал:

• Создать группу-А, добавить пользователей
• Предоставьте Группе A (F) полный доступ к папке
• Создать скрипт, который
  • удаляет бит наследования файлов в папке
  • удаляет (F) полный доступ к файлам, оставляя права только для чтения

Проблема в том, что мои пользователи могут редактировать и удалять файлы, как будто они имеют полный доступ. Даже если "действующие разрешения" не показывают права на редактирование, все равно можно.

Скрипт работает нормально и выглядит так:

icacls d:\folder\Bild1.jpg /inheritance:d
icacls d:\folder\Bild1.jpg /remove:g Group-A"

После запуска сценария разрешение NTFS для файла file.jpg выглядит следующим образом (мне кажется правильным):

Так выводит icacls:

d:\folder>icacls Bild1.jpg
Bild1.jpg WM\DomainAdmin:(F)
          WM\Domänen-Admins:(F)
          WM\Group-A:(RX)

На вкладке эффективных прав доступа этого файла отображается точно такая же (правильная) вещь:

Права доступа к родительской папке, пользователи должны иметь возможность добавлять файлы сюда, выглядят так:

Artweger WM\Group-A:(I)(OI)(CI)(F)
         WM\Domänen-Admins:(I)(OI)(CI)(F)

Если этот пользователь входит в систему (он просто в двух группах, Domain-Users и Group-A), он может редактировать, удалять, переименовывать и перемещать файл bild1.jpg. Как это возможно? Что NTFS делает с моими славными планами?