NTFS: o usuário pode editar/excluir arquivos sem direitos

Eu tenho um fenômeno de direitos NTFS muito estranho em um servidor de arquivos e não consigo encontrar meu erro, puxando meu cabelo por horas agora. o que estou perdendo?

Minha meta é:

• O usuário do Grupo-A deve ser capaz de gravar novos arquivos/pastas em uma pasta ("adicionar arquivos"). Eles também devem ser capazes de editar os arquivos recém-adicionados.
• À noite, os arquivos recém-adicionados devem ser "protegidos" de futuras edições/exclusões pelo Grupo-A. O direito de ler os arquivos e o direito de adicionar mais novos arquivos devem permanecer.

Aqui está o que eu fiz:

• Criar Grupo-A, adicionar usuários
• Conceda ao Grupo A (F) acesso total à pasta
• Crie um script que
  • exclui o bit de herança dos arquivos na pasta
  • remove o acesso (total) aos arquivos, deixando direitos somente leitura

O problema é que meus usuários podem editar e excluir arquivos como se tivessem acesso total. Mesmo que as 'permissões efetivas' não mostrem o direito de editar, ainda podem.

O script funciona bem e fica assim:

icacls d:\folder\Bild1.jpg /inheritance:d
icacls d:\folder\Bild1.jpg /remove:g Group-A"

Após a execução do script, a permissão NTFS em file.jpg fica assim (parece correta para mim):

O mesmo acontece com a saída do icacls:

d:\folder>icacls Bild1.jpg
Bild1.jpg WM\DomainAdmin:(F)
          WM\Domänen-Admins:(F)
          WM\Group-A:(RX)

A guia de permissões efetivas desse arquivo mostra exatamente a mesma coisa (certa):

As permissões para a pasta pai, os usuários devem poder adicionar arquivos aqui, são assim:

Artweger WM\Group-A:(I)(OI)(CI)(F)
         WM\Domänen-Admins:(I)(OI)(CI)(F)

Se este usuário logar (ele está apenas em dois grupos, Domain-Users e Group-A), ele pode editar, deletar, renomear e mover o arquivo bild1.jpg. Como isso é possível? O que o NTFS faz com meus planos gloriosos?