[Grub]

Делаете на папке Конструкторы в закладке безопасность\дополнительно даете разрешение Содержимое папок\Чтение данных и Создание папок\Дозапись данных и применяете ее только на эту папку. Затем для Создатель-Владелец даете полные разрешения только для подпапок и файлов. Таким образом, у вас все кто входит в группу Конструкторы смогут видеть ее содержимое, но никто не сможет зайти в чужую папку, только тот кто ее создал. Соответственно, Вам надо сделать разрешения для создателя, пусть пользователи создадут себе папки и скопируют из существующих. Затем уже назначать разрешения на группу Конструкторы. Либо, сначала назначать на группу Конструкторы, а затем на каждой папке Конструкторы\Вася давать только ему полный доступ. Все зависит от количества пользователей.

[Michael]

Я бы сделал по другому.
На папку отдела выдать разрешения группе Domain Users следующие права
Чтение и выполнение
Список содержимого папки
Чтение.
Пользователям, принадлежащим к этому отделу - полный доступ
Для обеих групп - для параметра Применять выставить значение "Для этой папки, ее подпапок и файлов".
В папке отдела создать папки под именами пользователей (Пупкин Василий Петрович и т.д.), отменить для них наследование разрешений от родительского каталога и дать полный доступ самому пользователю.
Для простоты администрирования - добавь везде с полными правами доступа группу, в которой состоишь сам или конкретно себя, на случай решения проблем пользователей и бэкапа (если конечно политика безопасности компании позволяет тебе иметь полный доступ ко всем данным и бэкапишь от своего имени).
В итоге получается такая картина:
Доступ в именную папку имеет только сам пользователь
Любой пользователь отдела может творить что угодно в папке отдела, кроме чужих именных папок - доступа к ним не будет.
Все прочие доменные пользователи могут зайти и посмотреть в папке отдела что угодно, кроме именных папок сотрудников отдела.

[Grub]

Michael, Ваш способ даст возможность прочитать файлы в папке Конструкторы(ну или любой другой). Именно файлы. Если в папке будут только другие папки, тогда да, подойдет. А если еще и файлы, которые пользователи других отделов не должны видеть - не подойдет.

[novitskiy]

мне как раз подходит то что говорит Michael

только неполучаеца поставить галки где нужно пользователям домена-неактивны
как сделать их активными?

[Grub]

Цитата novitskiy:

как сделать их активными? »

убрать наследование разрешений

[novitskiy]

( сделал. всё сделал как подсказали а оно неработает. сотрудники всёравно могут заходить в личную папку. я вапще непонимаю как оно всё работает(( может я такой тупой ну шоза блин(((((

[Michael]

Цитата Grub:

Michael, Ваш способ даст возможность прочитать файлы в папке Конструкторы(ну или любой другой). Именно файлы. Если в папке будут только другие папки, тогда да, подойдет. А если еще и файлы, которые пользователи других отделов не должны видеть - не подойдет »

Совершенно верно - любой пользователь может посмотреть все что угодно, кроме именных папок сотрудников отдела. Данные, которые не должен видеть никто - должны храниться в именных папках.
novitskiy, приведи скрин прав доступа на личную именную папку.

[Grub]

Цитата Michael:

Данные, которые не должен видеть никто - должны храниться в именных папках. »

есть данные, которые должны видеть все сотрудники группы, но не все пользователи домена. У Вас же получается, что все пользователи могут видеть данные группы. Я не говорю что это не правильно. Все зависит от того, чего хочет novitskiy.

Цитата Michael:

приведи скрин прав доступа на личную именную папку. »

а еще лучше в окне Дополнительно.

[novitskiy]

2:Grub
я хочу чтобы только те кто в группе конструкторы могли создовать\изменять\удалять файлы в своей папке "конструкторский отдел". все остольные только просматривать, изменять ничего немогли. а для личной папки одного из конструкторов сделать доступ только ему, остальные немогли даже заходить