Как выдать доменному пользователю возможность рулить NTFS правами
 

Есть Windows Server 2016 в домене, на нём расшарена папка на диске Д. Внутри этой папки - "папки отделов".
В одном из этих отделов права меняются слишком часто и было решено назначить ответственного пользователя (не сисадмина) который будет этими правами заниматься. Назначили этого доменного пользователя владельцем папки, отключили наследование NTFS прав и выдали этому пользователи полные права на папку и все дочерние файлы\папки. Всё прекрасно работало в течении почти года, и тут вдруг внезапно сломалось на этой неделе (когда именно - не понятно).

Итого что имеем:

1. Пользователь является владельцем папки. Назначить кого-нибудь другого владельцем а затем вернуть его и поставить галку "назначить владельцем для всех дочерних элементов" - пробовал, не помогло.
2. У пользователя стоят полные права на папку, снова таки пробовал убирать и добавлять назад ставя галку "перезаписать все права дочерних элементов" - не помогло.
3. Когда от имени этого пользователя пытаешься добавить прав другому пользователю из домена на любой дочерний элемент (будь то папка или файл или всё внутри папки), не важно какие именно это будут права - всплывает такая ошибка:

4. Файлосервер имеет все последние на данный момент обновления, контроллер домена тоже, оба перегружались (чтобы исключить глюки с неправильной авторизацией или еще чего-нибудь странного)
5. Проблема воспроизводится с любым пользователем домена (назначаем любого пользователя владельцем любой расшареной сетевой папки, пробуем менять права в дочерних папках - та же ошибка) на любом компе в домене.

В чём может причина такого поведения?

Есть идеи?

Идея - пересоздать папку, предварительно скопировав все файлы из неё.
А затем сделать почти правильно:

1. Создать в AD группу acl_имяпапки_edit.
2. Назначить эту группу в NTFS пересозданной папке с правом change/изменение.
3. Добавить в созданную группу ответственного товарища как члена и как менеджера (на закладке свойств группы "Управляется")
4. Рассказать ответственному товарищу как через поиск в AD находить группу acl_имяпапки_change и менять в ней членство других юзеров.

Идея - включить аудит на всё для этой папки и проделать ещё раз все те манипуляции, которые делали. После чего залезть в журнал и проанализировать ситуацию.
Идея - создать ещё одну папку в том-же месте и проверить её нормальную работу проделав все те же манипуляции.
Идея - сменить владельца через takeown и сменить права через icacls
Идея - посмотреть атрибуты папки на наличие включенного шифрования.

PS. Никогда не давайте никаким пользователям полных прав на папки, они могут эти папки банально зашифровать, удалить и сделать кучу других гадостей как сознательно так и случайно с благими намерениями!