Вы включаете наследование для этого элемента отдельно от записей ACL. Это означает, что он получит ACE от своего родителя. Он не имеет абсолютно никакого отношения к тому, будет ли он предоставлять собственные настраиваемые записи ACE для наследования детьми.
Вы должны пометить каждую запись ACL как наследуемую отдельно для дочерних файлов (наследование объекта) и дочерних папок (наследование контейнера):
icacls foo / grant Каждый: (OI) (CI) F
Это эквивалентно раскрывающемуся «Наследовать: [Файлы и подпапки]» в Свойствах - Безопасность - Дополнительно .
Когда вы добавляете ACE, помеченные как наследуемые, icacls будет распространять их автоматически, и эта /Tопция не нужна (может быть, даже немного вредна).