Du hast meinen Text nicht richtig verstanden. Man kann durch Verkleinerung der Zugriffsmaske auch den Zugriff verweigern. Wenn man z.B. READ_FILE_ACCESS nicht vergibt, dann kann der Benutzer auch keine Dateien lesen - es sei denn, er ist in einer Gruppe, die das erlaubt und zwar indem die Gruppe in der ACL mit diesem Recht erlaubend gelistet ist.
Die Vergabe einer Verweigerung schließt auch diese Lücke.

Die Normalform einer ACL ist u.a. so definiert, dass zuerst Verweigerungs- und dann Erlaubeneinträge stehen sollten. Das muss aber nicht unbedingt so sein. Im so einem Fall kann es aber chaotisch werden.