K>Может быть проблема в том, что по умолчанию в группу Users входит мета-группа Authenticated Users (S-1-5-11), куда автоматически добавляются все юзеры, прошедшие авторизацию?

Вполне возможно. Но как исключить его из этой мета-группы?
В принципе, юзер X мне нужен в качестве аккаунта, из-под которого запускаются сервисы. Сервисы тоже проходят авторизацию?

Кстати, если из-под X запускать именно сервис, то эффект сохраняется: юзер X может по умолчанию создавать файлы почти везде (так же, как группа Users), а снятие с Users прав на создание файлов снимает эти права и с X.