[exo]

Цитата Triarch:

2. Возникла необходимость выдавать доступ пользователям на некоторые папки чужих отделов. Полностью на папку чужого отдела не проблема дать тдоступ, но это не очень желательно. А как можно сделать чтобы доступ у этих был только на определенные папки внутри папки чужого отдела? »

назначьте нужные права на папку, а пользователю дайте полную ссылку на папку.
Если в домене ничего не меняли, то по умолчанию доступ будет. я запамятовал как этот тип доступа называется...

[snark]

Triarch, я делаю так:

1) на личную папку пользователя назначаю такие права



Сделал скрин так, чтоб были видны только включенные галочки. Если не видно, значит, галка не установлена.

Если нужно автоматизировать, то поможет кусок из скрипта на PowerShell

Код:

$DirNameFull="\\server\share\$DirName"
if (!(Test-Path $DirNameFull))
{ 
   Write-Host 'Папки' $DirNameFull 'нет, создадим ее и назначим права.' 
   New-Item -Path $DirNameFull -ItemType Directory
   # icacls $DirNameFull /grant:r "$($env:USERDOMAIN)\Администраторы домена:F" /T /C 
   # F - full, RX - read & execute, 
   # OI - Object Inheritance (наследование объектами - файлы), 
   # CI - наследование контейнерами (папки)
   # Права на чтение и запись для подпапок и файлов.
    icacls $DirNameFull /grant:r "$($user):(OI)(CI)(IO)M" /T /C 
   # Права на чтение, запись и выполнение только для этой папки.
    icacls $DirNameFull /grant:r "$($user):(GR,GE,GW)" /C 
}

2) Чтоб зайти чужаку в папку другого отдела, пришлось наряду с группами безопасности Server-Share-RW, Server-Share-RO, Server-Share-FC (соответственно, для доступа к папке Share на сервере Server — чтение/запись, чтение, полный доступ) создать группу безопасности Server-Share-RI (для входа в папку). Права такие:



То есть пользователи в группе Server-Share-RI могут лишь зайти в папку и прочитать разрешения. Соответственно, если внутри каталога \\server\share есть подкаталоги 01, 02, и так далее, — то на каждый подкаталог ставим нужный доступ группе Server-Share-01(02, 03 etc), и эту группу безопасности включаем в состав группы Server-Share-RI. После этого перелогиниваем пользователя, которому делали доступ, и проверяем под ним.

[exo]

Цитата exo:

я запамятовал как этот тип доступа называется... »

нашёл Обход перекрестной проверки\Bypass traverse checking
для 2008 и 2012 пути не изменились в GPO.

[snark]

exo, спасибо за ссылку. Параметр групповой политики включается на файловом сервере?

Цитата exo:

Если в домене ничего не меняли, то по умолчанию доступ будет »

А как можно сделать без выдачи ссылок, а именно с возможностью "ползать" по дереву каталогов?

P. S. Проверил, нельзя.

[exo]

Цитата snark:

А как можно сделать без выдачи ссылок »

ссылки можно или через ярлыки на рабочий стол, и сетевые диски монтировать.

Цитата snark:

а именно с возможностью "ползать" по дереву каталогов? »

а зачем?

Цитата snark:

Параметр групповой политики включается на файловом сервере? »

он по умолчанию включен. разница только в том, кому можно на ФС и КД.
К сожалению, такая фишка не проходит когда нужно дать доступ к одному файлу - слетают права. Решения не нашёл.

[Triarch]

Snark сделал по вашему примеру со скринами, для папки пользователя, все равно пользователь удалять может свою папку(
Вот такие настройки сделал, соответсвенно в элементах разрешений первое и третье разрешение по вашей рекомендации настроено

[snark]

Triarch, разрешения на корневую папку сотрудников какие стоят? Для группы безопасности "Пользователи домена" выставьте права на папку как на втором скрине, т. е. "Только для этой папки" разрешаем траверс, содержание, чтение атрибутов и разрешений.
В моем случае пользователь может удалить содержимое папки, но саму папку ни переименовать, ни удалить не может.

Цитата exo:

Цитата snark: а именно с возможностью "ползать" по дереву каталогов? » а зачем? »

Много связей между отделами, много ссылок. Опасаюсь, что будет больше хаоса. В общем, надо экспериментировать, спасибо за информацию.

Цитата exo:

К сожалению, такая фишка не проходит когда нужно дать доступ к одному файлу - слетают права. Решения не нашёл. »

В подобном случае заставляю выкладывать этот файл в отдельный каталог, и на него уже назначаю права.

[exo]

Цитата snark:

Много связей между отделами, много ссылок. Опасаюсь, что будет больше хаоса. »

а у меня другой взгляд: много папок - много групп...

Цитата snark:

В подобном случае заставляю выкладывать этот файл в отдельный каталог »

мы только так и сделали.

[Triarch]

snark спасибо большое за советы, исправил разрешения на корень (share) и все получилось
а вот с доступом на определенные папки чужого отдела что то не могу разобраться все равно( или не совсем понял ваши объяснения