[Angry Demon]

Цитата exo:

заходит один из сотрудников в папку "Сотрудники" и видит лишь свою папку, т.к. есть права на неё. А папки других сотрудников не видит, т.к. нет прав на них. Можно такое сделать ?

Windows Server 2003 Access-based Enumeration
Использование ABE в Windows Server 2003 R2

[Dirk Diggler]

Для этих целей естественно делать такую иерархию:

Пусть есть ресурс A, специально для него создаем нужное количество групп безопасности такого вида:
"Группа полного доступа к ресурсу А"
"Группа доступа на чтение ресурса А"
"Группа доступа на изменение ресурса А"
и т.п., по надобности. У меня всего 2 или 3 такие - полного доступа, чтения, просмотра содержимого.
Итого получаем - кучу ресурсов и соот-щих им групп. К КАЖДОМУ РЕСУРСУ ПРИВЯЗЫВАЕМ ТОЛЬКО ЭТИ ГРУППЫ, НИКАКОГО ПРЯМОГО НАЗНАЧЕНИЯ ПРАВ.

А с друго стороны - кучу пользователей и соот-щих им групп, отражающих структуру организации. Далее просто - просто меняем членство в группах.
Скажем, есть Иванов, он член группы "Менеджеры", имеет свою папку "Иванов". Создаем группу "Доступ к папке Иванов", даем ТОЛЬКО ЕЙ права на папку. А вот уже в эту группу включаем в эту группу самого Иванова и кого хотим.

[exo]

Dirk Diggler, тогда получается многа-многа шрупп? если пользователей 1000. И ещё, хотелось бы избежать "Фамилии" в названии групп.

[Dirk Diggler]

Да, именно. А что поделаешь. Если данные уже занесены в АД, можно все делать скриптами.

Цитата exo:

"Фамилии" в названии групп »

избегайте. В чем проблема-то? Придумайте систему нумерации или типа того. Это же уже вопрос из другой оперы.

[exo]

Цитата Dirk Diggler:

Это же уже вопрос из другой оперы »

в том то и дело, что из той же оперы. Мне нужно придумать с группами, чтобы их было мало и без Фамилий.

[Dirk Diggler]

А можно вопрос - почему именно без фамилий?

[exo]

Цитата Dirk Diggler:

почему именно без фамилий? »

чтоб никто не догадался.

[Oleg Krylov]

Цитата exo:

Dirk Diggler, тогда получается многа-многа шрупп? если пользователей 1000. И ещё, хотелось бы избежать "Фамилии" в названии групп »

Есть такая модель назначения разрешений: Создаются два типа групп, группы пользователей и группы доступа. Вы можете обозначить их специальными тегами. Например RsFolder-R, RsFolder-RW. Тут простор для фантазии. Самое главное при запросах Вы будете использовать эти теги для поиска. Так удобнее. А пользователей удобно сортировать по служебным обязанностям, обычно у сотрудников одного отдела тип работы и ресурсы практически одинаковые. Ну за исключением Начальников отделов и ведущих специалистов.

[Delirium]

Oleg Krylov, структура, приведенная автором, очень похожа на ту, которая была у меня в бытность админом факультета в универе. Много потоков студентов, были папки с годом поступления и куча групп, внутри которых также была одна общая папка для группы и куча папок с фио, точнее с логином пользователя.
Помимо стандартных разрешений, было еще одно для ВСЕХ пользователей - список содержимого папки, т.е. корневой папки года поступления.
В случае, если мне надо было дать доступ до папки другого пользователя, я просто на нужную папку руками выставлял ntfs разрешения нужному пользователю. Т.к. у пользователя было права на список содержимого папки, то до нее он достучаться мог, а после выставления прав еще и зайти в нужную. Мне кажется, такой вариант самый простой.