NTFS: пользователь может редактировать / удалять файлы без прав

У меня очень странный феномен прав NTFS на файловом сервере, и я не могу найти свою ошибку, уже часами выдергивая волосы. Что мне не хватает?

Моя цель:

• Пользователь из группы A должен иметь возможность записывать новые файлы / папки в папку («добавлять файлы»). Они также должны иметь возможность редактировать эти недавно добавленные файлы.
• Ночью вновь добавленные файлы должны быть «защищены» от дальнейшего редактирования / удаления Группой-A. Право читать файлы и право добавлять новые файлы должны остаться.

Вот что я сделал:

• Создать Group-A, добавить пользователей
• Дайте группе-A (F) полный доступ к папке
• Создайте сценарий, который
  • удаляет бит наследования файлов в папке
  • удаляет (F) ull доступ к файлам, leavinf права только для чтения

Проблема в том, что мои пользователи могут редактировать и удалять файлы, как если бы у них был полный доступ. Даже если «действующие разрешения» не показывают права на редактирование, все равно можно.

Скрипт работает нормально и выглядит так:

icacls d:\folder\Bild1.jpg /inheritance:d
icacls d:\folder\Bild1.jpg /remove:g Group-A"

После запуска скрипта разрешение NTFS на file.jpg выглядит так (мне кажется правильным):

Так вывод icacls:

d:\folder>icacls Bild1.jpg
Bild1.jpg WM\DomainAdmin:(F)
          WM\Domänen-Admins:(F)
          WM\Group-A:(RX)

Вкладка эффективных разрешений этого файла показывает то же самое (правильное):

Разрешения для родительской папки, пользователи должны иметь возможность добавлять сюда файлы, выглядят следующим образом:

Artweger WM\Group-A:(I)(OI)(CI)(F)
         WM\Domänen-Admins:(I)(OI)(CI)(F)

Если этот Пользователь входит в систему (он только в двух группах, Пользователи домена и Группа-A), он может редактировать, удалять, переименовывать и перемещать файл bild1.jpg. Как это возможно? Что делает NTFS с моими блестящими планами?