[kim-aa]

Цитата WooDFox:

Необходимо, чтобы в списке шар была только корневая папка. Соответственно, открываем к ней общий досуп с правами на чтение группы "Domain Users", "Безопасность" не трогаем. Теперь берем папку \Public\Dep1 , в безопасности добавляем группу Dep1 и выставляем флаг полного доступа. Итог - к данной папке по пути \\Storage\Root\Public\Dep1 доступ имеют все только на чтение, и группа Dep1 в том числе. »

1)
Вы управляете правами NTFS или правами на сетевой ресурс?
То, что вы описали возможно сделать только правами NTFS.

2)
Скриншоты для данного действа приведите.
Лучше приводить "до" и "после"

[WooDFox]

Цитата kim-aa:

1) Вы управляете правами NTFS или правами на сетевой ресурс? То, что вы описали возможно сделать только правами NTFS. »

Правами NTFS.

Цитата kim-aa:

2) Скриншоты для данного действа приведите. Лучше приводить "до" и "после" »

Сейчас сделаю.

[WooDFox]

5 - попытка создать папку.

[__sa__nya]

WooDFox, вы на вашу шару root (или как она там у вас называется) дайте доступ не только на чтение (рис1), но и на изменение (Права доступа на шару действуют так: более " перекрывают" более "мягкие" - если NTFS-правами на папку вы выставили изменение, а share-правами только чтение, то итоговый доступ будет "чтение", и наоборот).

[WooDFox]

То есть, я правильно понимаю, что фактически, что бы разграничить доступ мне надо на каждом ограничиваемом каталоге выставлять NTFS-права для каждого отдела?
Вот так:

Root (Share:Чтение и изменение) (NTFS:Только чтение всем)
-Private (NTFS:Только чтение всем)
--Dep1 (NTFS:Полный доступ Dep1;Запретить всё Dep2;Запретить всё Dep3)
--Dep2 (NTFS:Полный доступ Dep2;Запретить всё Dep1;Запретить всё Dep3)
-Public (NTFS:Только чтение всем)
--Dep1 (NTFS:Полный доступ Dep1;Только чтение Dep2;Только чтение Dep3)
--Dep2 (NTFS:Полный доступ Dep2;Только чтение Dep1;Только чтение Dep3)

Мне кажется, что это неправильно...
И, повторюсь, на Вин7 схема, описанная в начале темы, работает правильно.

[__sa__nya]

Если вы запрещаете только для того, чтобы, например Dep2 не могли ничего писать в папку Dep1, то запрет делать не обязательно- т.к. если пользуну или группе нет явного разрешения на запись, то он в папку ничего и не запишет. А так в общем правильно.

Цитата WooDFox:

И, повторюсь, на Вин7 схема, описанная в начале темы, работает правильно. »

- значить 7 дает разрешение "запись" на шару .

[Ivan Bardeen]

Цитата WooDFox:

Root (Share:Чтение и изменение) (NTFS:Только чтение всем) -Private (NTFS:Только чтение всем) --Dep1 (NTFS:Полный доступ Dep1;Запретить всё Dep2;Запретить всё Dep3) --Dep2 (NTFS:Полный доступ Dep2;Запретить всё Dep1;Запретить всё Dep3) -Public (NTFS:Только чтение всем) --Dep1 (NTFS:Полный доступ Dep1;Только чтение Dep2;Только чтение Dep3) --Dep2 (NTFS:Полный доступ Dep2;Только чтение Dep1;Только чтение Dep3) Мне кажется, что это неправильно... »

Неправильно, так как в вашем случае можно избежать явных запретов
Предлагаю так:
Root (Share:Чтение и изменение) (NTFS:Только чтение всем и только для этой папки)
-Private (NTFS:Только чтение всем и только для этой папки)
--Dep1 (NTFS:Полный доступ Dep1)
--Dep2 (NTFS:Полный доступ Dep2)
-Public (NTFS:Только чтение всем)
--Dep1 (NTFS:Полный доступ Dep1;Только чтение Dep2;Только чтение Dep3)
--Dep2 (NTFS:Полный доступ Dep2;Только чтение Dep1;Только чтение Dep3)

[WooDFox]

Спасибо, проблема решена.
На правильную мысль меня натолкнул ответ в ТехНэте. На всякий случай, вставляю сюда - вдруг кому пригодится:


Проблема в том, что Вы неправильно поняли как совместно работают разрешения SMB (доступ по сети) и NTFS. Будет действовать наиболее жёсткое разрешение.

При доступе к общей сетевой папке SMB разрешения выступают как фильтр, который пропускает максимум только тот тип доступа который Вы определили для общей папки. В вашем случае Domain Users имеют максимум Read при доступе по сети к любой из папок. Разрешения NTFS можно только ужесточить.

Дайте вашим пользователям SMB разрешение Change или Full Control. Всё лишнее можно "порезать" разрешениями NTFS.

Administering Shared Folders http://www.microsoft.com/mspress/boo...hap/5509a.aspx (When you combine shared folder permissions and NTFS permissions, the more restrictive permission is always the overriding permission)

Managing Permissions for Shared Folders http://technet.microsoft.com/en-us/l.../cc753731.aspx

PS. Обычно используют для таких целей Authenticated Users, а не Domain Users.

[volk1234]

по разрешениям NTFS - нужно давать пользователям право Modify, а не полный доступ - ибо им ни к чему право на смену владельца.
А еще лучше дать право Modify, группе Creator-Owner, а остальным право чтение и выполнение, либо тоже Modify но с убраными галками низкоуровневых разрешений - удаление и удаление файлов и подпапок.
Таким образом достигается разграничение прав внутри групп Dep1, зачем другому пользователю право на удаление файла который не он создавал? Т.е. люди смогут создавать, редактировать, просматривать документы. А владельцы еще и удалять свои файлы.