Я думаю, что идея заключается в том, что владельцу файла предоставлены полные разрешения для этих каталогов, и он может затем указать, кто имеет доступ к файлу.
Я просто попробую сейчас ...
... поцарапайте это.
Кажется, что основной набор разрешений для обычных пользователей предоставляется через встроенные группы безопасности NETWORK и INTERACTIVE. Разрешения привязаны к сетевому расположению пользователя (вошли в систему локально или из сети). Это противоречит обычной практике предоставления разрешений группе «Пользователи» и / или «Пользователи домена».
Это также объясняет, почему, когда я пытался протестировать действующие разрешения для какого-то пользователя, я ничего не получал обратно. (Только администратор имел явно определенные разрешения.)