Добрый день.
Есть сеть, домен 2003.
Общий ресурс SHARA.
В общем ресурсе есть "папка для общего использования" - туда все пользователи заходят спокойно.
Так же есть папка "отдел№1", права NTFS для группы "GROUP№1" стоят разрешения Full Control.
В эффективных разрешениях для членов группы - Full Control.
При этом когда пользователь, входящий в группу "GROUIP№1" пытается получить доступ к ресурсу \\server\SHARA\отдел№1 - в доступе отказано.
При добавлении отдельного права доступа сотруднику из группы - доступ появляется.
Что не так? глюк? баг? или вирус?
Спасибо.

Такая проблема у всех пользователей группы 1 или только у некоторых?

Посомтрите в свойствах группы - она глобальная или локальная ?
сощдайте тестовую группу и проверьте на ней! а так же наследования!

Такая проблема у всех пользователей группы 1 »
пока у одной.
она глобальная или локальная »
глобальная, домен-локальная залочена.
а так же наследования! »
а здесь подробнее плиз. Дело в том что наследование с SHARA отключено.

пока у одной. »
пользователь давно в этой группе находится ?

exo

следуя рекомендациям майкрософт, обратите внимание прежде всего при выявлении неполадок acl:

1. «Запретить» всегда перекрывает «Разрешить» (исключение п.3)

2. "Сетевые разрешения" всегда перекрывают "NTFS права" и эти параметры аккумулируются.

3. Если пользователь или группа наследуют запрещенные разрешения, вы можете перекрыть их, явно указав разрешения для объектов. Явно указанные разрешения перекрывают родительские, даже для «Запретить».

также не забываем про GPO:
access to this computer from network (user rights assignment)
file system (security configuration)
restricted groups, rsop

и

cacls

пользователь давно в этой группе находится ? »
он был в группе, у которой были права рид онли, перенёс в группа для полного доступа - косяк.
1. «Запретить» всегда перекрывает «Разрешить» (исключение п.3) »
запретов явных нет.
2. "Сетевые разрешения" всегда перекрывают "NTFS права" и эти параметры аккумулируются. »
сетевые только на папку SHARA, заметьте:
В общем ресурсе есть "папка для общего использования" - туда все пользователи заходят спокойно. »
на другие некоторые папки пользователь входит спокойно.
Если пользователь или группа наследуют запрещенные разрешения, »
наследования вообще нет...
access to this computer from network »
здесь ок. входит он на этот сервер.

C:\Documents and Settings\админ>cacls D:\Public\KAU
D:\Public\KAU BUILTIN\Администраторы: (OI)(CI)F
домен\store_KAU_full: (OI)(CI)F
домен\store_KAU_ro: (OI)(CI)R
NT AUTHORITY\SYSTEM: (OI)(CI)F
домен\пользователь: (OI)(CI)F
пользователь входит в группу store_KAU_full

2. "Сетевые разрешения" всегда перекрывают "NTFS права" и эти параметры аккумулируются. »
Вы неправы.

он был в группе, у которой были права рид онли, перенёс в группа для полного доступа - косяк. »
Пользователь после переноса сделал logoff/login ?

Пользователь после переноса сделал logoff/login »
да, уже день прошёл... и кстати это не всегда обязательно.

если я не дам право изменения на шару - то даже с правами NTFS Full Contorl пользователи не смогу ничего изменить/добавить. Это что касается корневой папки шары, но у меня не корневая... вроде дочерним папки уже по барабану сетевые права.

monkkey

Вы неправы.
обоснуйте,
ведь мы здесь говорим о сетевом доступе - по другому и быть не может..

zonderz, в саму шару пускает, не пускает в разрешённые папки в шаре... но в некоторые разрешённые пускает через группу Domain Users

да, уже день прошёл... и кстати это не всегда обязательно. »
Права доступа к ресурсам предоставляются на основе маркера доступа который формируется в момент логина пользователя, соответсвенно чтобы маркер обновился пользователю необходимо сделать перезаход в систему.
день это не показатель, у меня некторые пользователи по несколько дней не делают завершение сеанса а просто блокируют рабочий стол

необходимо сделать перезаход в систему »
на предыдущей странице в цитате я там привёл права. Там есть право для пользователя отдельно, по которому он сейчас работает.
Эти права я назначил сидя у него за компом (по RDP зайдя на сервер). Перелогиниваться не пришлось.

exo

вопр:
только у 1 пользов. проблемы?
если да, то разбираться надо не с общими для всех правами доступа и сетевыми разрешениями....
действителен ли пароль пользователя в данный момент
все ли в порядке с выдачей билетов данному субъекту
нет ли у него проблем с доступом к другим папкам

если нет, то:
куда еще входят пользователи (в какие группы)?
это пользователи этого домена?

Эти права я назначил сидя у него за компом (по RDP зайдя на сервер). Перелогиниваться не пришлось. »
Перелогиниваться надо только тогда когда меняете членство в группе, а не напрямую даете права пользователю. В маркере доступа пользователя пока он не перезайдет, не будет записи о том что он входит в ту группу в которую вы его добавили.

только у 1 пользов. проблемы? »
у всех кто в этой группе.
действителен ли пароль пользователя в данный момент »
да у всех.
нет ли у него проблем с доступом к другим папкам »
нет.
все ли в порядке с выдачей билетов данному субъекту »
думаю проблем нет. см.выше.
это пользователи этого домена? »
да.
куда еще входят пользователи (в какие группы)? »
только в эту группу и Domain Users.