NTFS права. глюк с правами у группы...
 

Добрый день.
Есть сеть, домен 2003.
Общий ресурс SHARA.
В общем ресурсе есть "папка для общего использования" - туда все пользователи заходят спокойно.
Так же есть папка "отдел№1", права NTFS для группы "GROUP№1" стоят разрешения Full Control.
В эффективных разрешениях для членов группы - Full Control.
При этом когда пользователь, входящий в группу "GROUIP№1" пытается получить доступ к ресурсу \\server\SHARA\отдел№1 - в доступе отказано.
При добавлении отдельного права доступа сотруднику из группы - доступ появляется.
Что не так? глюк? баг? или вирус?
Спасибо.

Такая проблема у всех пользователей группы 1 или только у некоторых?

Посомтрите в свойствах группы - она глобальная или локальная ?
сощдайте тестовую группу и проверьте на ней! а так же наследования!

пока у одной.
глобальная, домен-локальная залочена.
а здесь подробнее плиз. Дело в том что наследование с SHARA отключено.

пользователь давно в этой группе находится ?

exo

следуя рекомендациям майкрософт, обратите внимание прежде всего при выявлении неполадок acl:

1. «Запретить» всегда перекрывает «Разрешить» (исключение п.3)

2. "Сетевые разрешения" всегда перекрывают "NTFS права" и эти параметры аккумулируются.

3. Если пользователь или группа наследуют запрещенные разрешения, вы можете перекрыть их, явно указав разрешения для объектов. Явно указанные разрешения перекрывают родительские, даже для «Запретить».

также не забываем про GPO:
access to this computer from network (user rights assignment)
file system (security configuration)
restricted groups, rsop

и

cacls

он был в группе, у которой были права рид онли, перенёс в группа для полного доступа - косяк.
запретов явных нет.
сетевые только на папку SHARA, заметьте:
на другие некоторые папки пользователь входит спокойно.
наследования вообще нет...
здесь ок. входит он на этот сервер.

пользователь входит в группу store_KAU_full

Вы неправы.

Пользователь после переноса сделал logoff/login ?

да, уже день прошёл... и кстати это не всегда обязательно.

если я не дам право изменения на шару - то даже с правами NTFS Full Contorl пользователи не смогу ничего изменить/добавить. Это что касается корневой папки шары, но у меня не корневая... вроде дочерним папки уже по барабану сетевые права.

monkkey

Вы неправы.
обоснуйте,
ведь мы здесь говорим о сетевом доступе - по другому и быть не может..

zonderz, в саму шару пускает, не пускает в разрешённые папки в шаре... но в некоторые разрешённые пускает через группу Domain Users

Права доступа к ресурсам предоставляются на основе маркера доступа который формируется в момент логина пользователя, соответсвенно чтобы маркер обновился пользователю необходимо сделать перезаход в систему.
день это не показатель, у меня некторые пользователи по несколько дней не делают завершение сеанса а просто блокируют рабочий стол

на предыдущей странице в цитате я там привёл права. Там есть право для пользователя отдельно, по которому он сейчас работает.
Эти права я назначил сидя у него за компом (по RDP зайдя на сервер). Перелогиниваться не пришлось.

exo

вопр:
только у 1 пользов. проблемы?
если да, то разбираться надо не с общими для всех правами доступа и сетевыми разрешениями....
действителен ли пароль пользователя в данный момент
все ли в порядке с выдачей билетов данному субъекту
нет ли у него проблем с доступом к другим папкам

если нет, то:
куда еще входят пользователи (в какие группы)?
это пользователи этого домена?

Перелогиниваться надо только тогда когда меняете членство в группе, а не напрямую даете права пользователю. В маркере доступа пользователя пока он не перезайдет, не будет записи о том что он входит в ту группу в которую вы его добавили.

у всех кто в этой группе.
да у всех.
нет.
думаю проблем нет. см.выше.
да.
только в эту группу и Domain Users.