[alecsandrb]

все зависит от того какие настройки ты применял в политиках для Групп с ограниченным доступом (и добавлял ли ты их вообще)
по умолчанию доменный админ - это локальный админ на любом компе в домене, а локальные админы имеют все права на локальные папки - опять же если ты не переназначал эти права (скриптом или вручную)
в крайнем случае как локальный админ ты можешь захватить права владельца папки а потом уже переназначить как тебе нужно все права NTFS

[Yohan777]

СПС. Все дело в том, я не уточнил, у меня дочерний домен, надо будет конечно уточнить глобальную политику для групп с ограниченным доступом. Я их не добавлял. Как я понял по умолчанию, администратор контроллера домена имеет доступ на все папки без исключения.
Меня вот насторожил один момент: При настройке новой рабочей станции, когда только винду поставил и дрова локальным админом, затем ставлю пароль на локального админа, и выскакивает сообщение сделать что-то вроде сделать личные папки (по умолчанию), и нет. Может в этом дело? На остальные вопросы кто что скажет может, сталкивался.

Уточнил у вышестоящего домена, там никаких настроек не производилось

[alecsandrb]

можешь привести пример того как у тебя назначены права на папку
пример domain admins - Full
domain users - read
User_1 - Full
Administrators(local) - Full

кто назначен владельцем на папку - локальные админы/пользователь User_1/кто-то еще

[Yohan777]

Вот:
На перенаправленную папку с фио пользователя:
System - полный
Администраторы - полный
Пользователи - чтение (чтение и выполнение - для этой папки и ее подпапок)
Создатель владелец - особые (полный доступ, применять к -только для подпапок и файлов)
Пользователь чья папки - особые (полный доступ, применять к -только для этой папки)
Внутри это папки: папочка Desktop и Мои документы
на эти папочки разрешиения следующие: System - полный и Пользователья чья папка - полный
Так автоматом формируются разрешения у всех пользователей

Зайти п папку с фио могу, дальше нет, что логично исходя из разрешений. Изменить разрешения нет прав пишет

[alecsandrb]

Судя по всему у тебя с учеткой доменного админа есть права на папку <Имя пользователя>
но нет прав на внутренние папки Desktop и Мои документы - что в принципе правильно судя по разрешениям
если тебе нужны права на эти папки то
- можно назначить их вручную (достаточно локальному админу с наследованием на внутренние папки)
- можно воспользоваться скриптом и утилитой xcacls
оба способа применимы, у обоих есть приеимущества и недостатки
- вручную - придется самому подойти к каждому компу и назначить, но при этом сразу сможешь и проверить доступ
- скриптом - применяется сразу ко всем пользователям но может занять какое-то время - зависит от кол-ва файлов в папках,
значит могут быть вопросы от пользователя что мол происходит, ну и о возможных не применившихся разрешениях ты узнаешь
когда попытаешься получить доступ

[Yohan777]

спасибо, буду пробовать, просто было интересно как удругих

[alecsandrb]

Цитата Yohan777:

просто было интересно как удругих »

у меня в домене папка пользователя (Мои документы) групповой политикой перенаправляется на сервер
и скриптами подцепляется как сетевой диск
а также на сервере есть папки отделов и приложений которые тоже при логоне цепляются пользователю
доступ обычно делаю так
на личную папку
- domain admins - Full
- User_1 - Write & Read
- System - Full
- Группа для Backup-а - Read (группа для записи на ленту)

на папку отдела
- domain admins - Full
- Группа отдела - Write & Read
- System - Full
- Группа для Backup-а - Read (группа для записи на ленту)

[Yohan777]

Ясно спасиб, т.е. по умолчанию получается как у меня, нет доступа, все остальные манипуляции уже дополнительно (скриптами, политиками).
Доступ мне нужен конечно не для того чтобы лазить почужим докам, просто удобно например какой ярлык выкинуть или скопировать какой файл в документы к пользователю. Наверное правильно делать такие вещи скриптами, политиками - я в них (написании скриптов) пока не очень силён. Пока сделал так: добавил доступ к удаленному столу учетки пользователя (интерактивный вход вроде называется). Правда скоро все пароли поменяют и усё. Надо будет наверное ручками прописывать всем, или политику каким-то образом подправлять, только незнаю как. Или есть только два способа описанные тобой выше?

[alecsandrb]

В принципе есть еще и третий вариант - назначить права на папку через групповую политику
но насколько я помню папка на всех машинах должна называться одинаково
пробовал как-то, в принципе работает

Цитата Yohan777:

Пока сделал так: добавил доступ к удаленному столу учетки пользователя (интерактивный вход вроде называется). Правда скоро все пароли поменяют и усё. »

если честно то не понял - что и к чему ты дал доступ (удаленный рабочий стол может быть)?