Как предоставить пользователю права на запись в файл, когда группе, в которой он находится, запрещено записывать (в Active Directory)?

Например, у меня есть группа Отдел А. Среди других пользователей у меня есть пользователь по имени Босс. Я хочу создать файл, который можно изменить только Босс, и быть доступным только для чтения другим пользователям из этой группы.

Я знаю, что запрет на переопределения на уровне группы разрешен на уровне пользователя, поэтому я не могу делать то, что мне нужно, только с разрешениями share / ntfs.

Здесь я вижу два решения:

1. Создайте подгруппу, например, Отдел А без начальника, запретить этой подгруппе писать и предоставить Отдел А разрешение писать. Это сработает?
2. Подход Гомера Симпсона. Устанавливайте разрешения индивидуально для каждого пользователя из группы.

Есть ли какое-нибудь изящное решение?

PS: ОС есть Windows 2003 Server