Есть сервер с подключенным к нему LUNом от SAN, предположим, его имя Storage
Пример дерева папок:
Root (Доступ на чтение всем)
-Private (Доступ на чтение всем)
--Dep1 (Доступ только Dep1)
--Dep2 (Доступ только Dep2)
-Public (Доступ на чтение всем)
--Dep1 (Доступ на чтение всем, полный - только Dep1)
--Dep2 (Доступ на чтение всем, полный - только Dep2)

Необходимо, чтобы в списке шар была только корневая папка. Соответственно, открываем к ней общий досуп с правами на чтение группы "Domain Users", "Безопасность" не трогаем.
Теперь берем папку \Public\Dep1 , в безопасности добавляем группу Dep1 и выставляем флаг полного доступа.
Итог - к данной папке по пути \\Storage\Root\Public\Dep1 доступ имеют все только на чтение, и группа Dep1 в том числе.
Со всеми остальными каталогами аналогичная ситуация.

Не работает и при расположении папки на локальном диске, и при расположении на SAN.
Не работает на серверах 2003/2008R2
Локально на Win7x64 такой подход к организации доступа работает.

Пробовал сбрасывать полностью права с помощю CACLS, перемещать файлы на другой том NTFS.

Пожалуйста, подскажите, в чем моя проблема?

Необходимо, чтобы в списке шар была только корневая папка. Соответственно, открываем к ней общий досуп с правами на чтение группы "Domain Users", "Безопасность" не трогаем.
Теперь берем папку \Public\Dep1 , в безопасности добавляем группу Dep1 и выставляем флаг полного доступа.
Итог - к данной папке по пути \\Storage\Root\Public\Dep1 доступ имеют все только на чтение, и группа Dep1 в том числе. »

1)
Вы управляете правами NTFS или правами на сетевой ресурс?
То, что вы описали возможно сделать только правами NTFS.

2)
Скриншоты для данного действа приведите.
Лучше приводить "до" и "после"

1)
Вы управляете правами NTFS или правами на сетевой ресурс?
То, что вы описали возможно сделать только правами NTFS. »
Правами NTFS.

2)
Скриншоты для данного действа приведите.
Лучше приводить "до" и "после" »
Сейчас сделаю.

5 - попытка создать папку.

WooDFox, вы на вашу шару root (или как она там у вас называется) дайте доступ не только на чтение (рис1), но и на изменение (Права доступа на шару действуют так: более " перекрывают" более "мягкие" - если NTFS-правами на папку вы выставили изменение, а share-правами только чтение, то итоговый доступ будет "чтение", и наоборот).

То есть, я правильно понимаю, что фактически, что бы разграничить доступ мне надо на каждом ограничиваемом каталоге выставлять NTFS-права для каждого отдела?
Вот так:

Root (Share:Чтение и изменение) (NTFS:Только чтение всем)
-Private (NTFS:Только чтение всем)
--Dep1 (NTFS:Полный доступ Dep1;Запретить всё Dep2;Запретить всё Dep3)
--Dep2 (NTFS:Полный доступ Dep2;Запретить всё Dep1;Запретить всё Dep3)
-Public (NTFS:Только чтение всем)
--Dep1 (NTFS:Полный доступ Dep1;Только чтение Dep2;Только чтение Dep3)
--Dep2 (NTFS:Полный доступ Dep2;Только чтение Dep1;Только чтение Dep3)

Мне кажется, что это неправильно...
И, повторюсь, на Вин7 схема, описанная в начале темы, работает правильно.

Если вы запрещаете только для того, чтобы, например Dep2 не могли ничего писать в папку Dep1, то запрет делать не обязательно- т.к. если пользуну или группе нет явного разрешения на запись, то он в папку ничего и не запишет. А так в общем правильно.
И, повторюсь, на Вин7 схема, описанная в начале темы, работает правильно. »
- значить 7 дает разрешение "запись" на шару :) .

Root (Share:Чтение и изменение) (NTFS:Только чтение всем)
-Private (NTFS:Только чтение всем)
--Dep1 (NTFS:Полный доступ Dep1;Запретить всё Dep2;Запретить всё Dep3)
--Dep2 (NTFS:Полный доступ Dep2;Запретить всё Dep1;Запретить всё Dep3)
-Public (NTFS:Только чтение всем)
--Dep1 (NTFS:Полный доступ Dep1;Только чтение Dep2;Только чтение Dep3)
--Dep2 (NTFS:Полный доступ Dep2;Только чтение Dep1;Только чтение Dep3)
Мне кажется, что это неправильно... »
Неправильно, так как в вашем случае можно избежать явных запретов
Предлагаю так:
Root (Share:Чтение и изменение) (NTFS:Только чтение всем и только для этой папки)
-Private (NTFS:Только чтение всем и только для этой папки)
--Dep1 (NTFS:Полный доступ Dep1)
--Dep2 (NTFS:Полный доступ Dep2)
-Public (NTFS:Только чтение всем)
--Dep1 (NTFS:Полный доступ Dep1;Только чтение Dep2;Только чтение Dep3)
--Dep2 (NTFS:Полный доступ Dep2;Только чтение Dep1;Только чтение Dep3)

Спасибо, проблема решена.
На правильную мысль меня натолкнул ответ в ТехНэте. На всякий случай, вставляю сюда - вдруг кому пригодится:


Проблема в том, что Вы неправильно поняли как совместно работают разрешения SMB (доступ по сети) и NTFS. Будет действовать наиболее жёсткое разрешение.

При доступе к общей сетевой папке SMB разрешения выступают как фильтр, который пропускает максимум только тот тип доступа который Вы определили для общей папки. В вашем случае Domain Users имеют максимум Read при доступе по сети к любой из папок. Разрешения NTFS можно только ужесточить.

Дайте вашим пользователям SMB разрешение Change или Full Control. Всё лишнее можно "порезать" разрешениями NTFS.

Administering Shared Folders http://www.microsoft.com/mspress/books/sampchap/5509a.aspx (When you combine shared folder permissions and NTFS permissions, the more restrictive permission is always the overriding permission)

Managing Permissions for Shared Folders http://technet.microsoft.com/en-us/library/cc753731.aspx

PS. Обычно используют для таких целей Authenticated Users, а не Domain Users.

по разрешениям NTFS - нужно давать пользователям право Modify, а не полный доступ - ибо им ни к чему право на смену владельца.
А еще лучше дать право Modify, группе Creator-Owner, а остальным право чтение и выполнение, либо тоже Modify но с убраными галками низкоуровневых разрешений - удаление и удаление файлов и подпапок.
Таким образом достигается разграничение прав внутри групп Dep1, зачем другому пользователю право на удаление файла который не он создавал? Т.е. люди смогут создавать, редактировать, просматривать документы. А владельцы еще и удалять свои файлы.