Расклад такой, что есть общая папка, в составе DFS, которая находится на сервере. Так вот по пр.кн.мыши->Безопасность прописаны Администраторы с полными правами и "Все", которые не имеют только "полного доступа". Но в папку даже под доменным админом не зайти, потому как на самом сервере через "управление компьютером" -> "общие ресурсы" прописаны только несколько конкретных лиц.

Хочу понять иерархию подчинения прав доступа. К какому классу относятся эти локальные права. Как так получается, что права заданные через AD (права на папку устанавливаются группам) теряют значения по сравнению с, как я понимаю, локальными установками, если сервер входит в домен.

Farxat, не совсем понятно, что вас удивляет.
Разрешения для общего ресурса (http://technet.microsoft.com/ru-ru/library/cc784499(WS.10).aspx)

Farxat,

справка f1 поиск dfs
читайте разделы:
Distributed File System and security
Securing shared resources
DFS Best practices

Бегло прочитал статью:

"В системе семейства Windows Server 2003 при создании общего ресурса участникам группы «Все» автоматически назначается разрешение типа «Чтение», предоставляющее минимальные полномочия"

Ок, но у доменных пользователей вообще нет доступа!

Farxat, у вас же назначены другие разрешения:

на самом сервере через "управление компьютером" -> "общие ресурсы" прописаны только несколько конкретных лиц.

Можно использовать простые в применении и управлении разрешения для общего ресурса. Помимо этого в файловой системе NTFS можно использовать управление доступом, которое предоставляет более широкие возможности управления общим ресурсом и его содержимым. Оба метода можно комбинировать. При использовании комбинации этих методов всегда применяются более строгие разрешения.

Чего непонятно-то?

Не понятно, по какому принципу они комбинируются) Уже стало понятно по какому принципу можно выставлять ограничения на доступ, но как это можно администрировать? Почему именно настройки сервера являются приоритетными? При добавлении группы пользователей (конкретного пользователя) на доступ к папке через пр.кн.мыши доступ не меняется. Этот момент и удивил! Могу хоть картинок накидать чтобы меня стало понятно до конца.

Farxat,

Пока вы не научитесь заставлять себя читать справку полностью и не бегло, вы будете еще долго удивляться. Успехов.

Не понятно, по какому принципу они комбинируются)

При использовании комбинации этих методов всегда применяются более строгие разрешения.

прописаны только несколько конкретных лиц

Грубо конечно, но это лучше чем ничего.

Нашел ответ на часть вопроса.

"В целом, доступ пользователя к целевой папке и ее содержимому определяется средствами безопасности используемой
файловой системы ..... тома NTFS предоставляют все возможности защиты семейства Windows Server 2003. Для поддержания безопасности следует использовать файловую систему NTFS и разрешения для общего доступа к файлам, чтобы защитить общие папки, используемые DFS, и разрешить доступ к ним только авторизованным пользователям."

Дабы избежать дискуссий привожу скрин вопроса который остался для меня открытый. А именно как централизовано получать информацию о таких вот пользователях:

Скрин (http://i44.tinypic.com/5bdwnp.jpg)