есть:
Windows Server 2003 SE SP1 + AD
Windows Server 2003 SE SP1 + FileServer
Windows XP pro SP2
FileServer выглядит так:
http://exonix.ru/NTFS.JPG
На папки "Отдел-х" имеют доступ на чтение соотвествующие группы отделов.
На папки "Общие" имеют права на изменение соотвествующие группы отделов.
На папки "Сотрудники" имеют доступ на чтение соотвествующие группы отделов.
На папки "Ф.И.О." имеют права на изменение соотвествующие учётные записи пользователей.

Задача, дать права на чтение Сотрудника Ф.И.О. из отдела-1 на папку Сотрудника Ф.И.О. отдела-2 без использования именных записей, используюя только группы.
Вообщем как-то так.
и ещё вопрос: заходит один из сотрудников в папку "Сотрудники" и видит лишь свою папку, т.к. есть права на неё. А папки других сотрудников не видит, т.к. нет прав на них. Можно такое сделать ?

заходит один из сотрудников в папку "Сотрудники" и видит лишь свою папку, т.к. есть права на неё. А папки других сотрудников не видит, т.к. нет прав на них. Можно такое сделать ?
Windows Server 2003 Access-based Enumeration (http://www.microsoft.com/windowsserver2003/techinfo/overview/abe.mspx)
Использование ABE в Windows Server 2003 R2 (http://www.netdocs.ru/articles/Implementing-Access-Based-Enumeration-Windows-Server-2003.html)

Для этих целей естественно делать такую иерархию:

Пусть есть ресурс A, специально для него создаем нужное количество групп безопасности такого вида:
"Группа полного доступа к ресурсу А"
"Группа доступа на чтение ресурса А"
"Группа доступа на изменение ресурса А"
и т.п., по надобности. У меня всего 2 или 3 такие - полного доступа, чтения, просмотра содержимого.
Итого получаем - кучу ресурсов и соот-щих им групп. К КАЖДОМУ РЕСУРСУ ПРИВЯЗЫВАЕМ ТОЛЬКО ЭТИ ГРУППЫ, НИКАКОГО ПРЯМОГО НАЗНАЧЕНИЯ ПРАВ.

А с друго стороны - кучу пользователей и соот-щих им групп, отражающих структуру организации. Далее просто - просто меняем членство в группах.
Скажем, есть Иванов, он член группы "Менеджеры", имеет свою папку "Иванов". Создаем группу "Доступ к папке Иванов", даем ТОЛЬКО ЕЙ права на папку. А вот уже в эту группу включаем в эту группу самого Иванова и кого хотим.

Dirk Diggler, тогда получается многа-многа шрупп? если пользователей 1000. И ещё, хотелось бы избежать "Фамилии" в названии групп.

Да, именно. А что поделаешь. Если данные уже занесены в АД, можно все делать скриптами.
"Фамилии" в названии групп »
избегайте. В чем проблема-то? Придумайте систему нумерации или типа того. Это же уже вопрос из другой оперы.

Это же уже вопрос из другой оперы »
в том то и дело, что из той же оперы. Мне нужно придумать с группами, чтобы их было мало и без Фамилий.

А можно вопрос - почему именно без фамилий?

почему именно без фамилий? »
чтоб никто не догадался.

Dirk Diggler, тогда получается многа-многа шрупп? если пользователей 1000. И ещё, хотелось бы избежать "Фамилии" в названии групп »
Есть такая модель назначения разрешений: Создаются два типа групп, группы пользователей и группы доступа. Вы можете обозначить их специальными тегами. Например RsFolder-R, RsFolder-RW. Тут простор для фантазии. Самое главное при запросах Вы будете использовать эти теги для поиска. Так удобнее. А пользователей удобно сортировать по служебным обязанностям, обычно у сотрудников одного отдела тип работы и ресурсы практически одинаковые. Ну за исключением Начальников отделов и ведущих специалистов.

Oleg Krylov, структура, приведенная автором, очень похожа на ту, которая была у меня в бытность админом факультета в универе. Много потоков студентов, были папки с годом поступления и куча групп, внутри которых также была одна общая папка для группы и куча папок с фио, точнее с логином пользователя.
Помимо стандартных разрешений, было еще одно для ВСЕХ пользователей - список содержимого папки, т.е. корневой папки года поступления.
В случае, если мне надо было дать доступ до папки другого пользователя, я просто на нужную папку руками выставлял ntfs разрешения нужному пользователю. Т.к. у пользователя было права на список содержимого папки, то до нее он достучаться мог, а после выставления прав еще и зайти в нужную. Мне кажется, такой вариант самый простой.

Т.к. у пользователя было права на список содержимого папки, то до нее он достучаться мог, а после выставления прав еще и зайти в нужную. Мне кажется, такой вариант самый простой. »
есть ещё способ. Дать права на эту папку по Ф.И.О., при этом на папку "Сотурдники" прав не будет, а соответственно и фамилий не будет. При включённой перекрёстной проверке, пользователь зайдёт на папку по прямой ссылке на неё.
Но тут затык: этож тыща ссылок...

Имхо нет у вас другого способа, чем предлагаем вам я и Олег Крылов. Более того, эта схема рекомендуется собсно MS, я её из какой-то статьи почерпнул. Придумываете систему именования групп, и вперед.

ЗЫ. Разве что использовать продукты типа Shared Folders в эксченж или SharePoint.