Прошу прощения за тупой вопрос, но столкнулся с проблемой. Может кто подскажет, где можно прочитать или как правильно ее разрешить.

Итак, описание:
Есть Домен. Есть файловый Сервер1.
Создаю папку \\Сервер1\Users
Расшариваю ее и ставлю Разрешения на чтение для файлов, каталогов и подкаталогов для Domain Users
Отключаю Наследование с типом Копирование свойств безопасности
создаю папку: \\Сервер1\Users\OTD1
в Безопасности на папке \\Сервер1\Users\OTD1 ставлю полный доступ для группы Отдел1

Результат: Член группы Отдел1 видит в Сетевом окружении папку \\Сервер1\Users\OTD1, но не может ничего туда записать

Почему? Нет, понятно, что получается наследование от вышестоящего \\Сервер1\Users свойств безопасности DENY для записи. Но вот как правильно поставить доступ, чтобы только конкретному отделу было доступны права на конкретный подкаталог?
Создавать кучу шар не хочется
Давать все права группе ВСЕ на корневой папке \\Сервер1\Users , а потом отбирать на конкретном каталоге у всех пользователей, кроме конкретной группы - тоже не хочется

Как все правильно сделать?

С уважением, Дмитрий

1. В описании не указаны разрешения на собственно шаринг;
2. Применяем не доменную группу Domain Users, а локальную Users;
3. Полный доступ — опрометчиво; не более, чем Modify/Change;
4. Deny могут использовать только опытные администраторы;
5. В описании нигде не сказано про Deny, а в результате оно откуда-то появляется. Где правда?

1) не понял.
Разрешения на шаринг установлено: для Domain Users - только чтение, Локальный администратор - полный доступ, System- полный доступ. Все.
2) Зачем использовать локальную Users? Ведь она не используется. Мне нужно раздать права для сетевых пользователей
3) Мне нужно, чтобы а)сетевые пользователи видели Шаринг (Папка \Users), б) каталоги в нем, но с) имели полный доступ только в своем каталоге д) остальные пользователи не имели доступ в чужой каталог
4) ну, не знаю, использовал, когда нужно было исключить доступ конкретного пользователя. Ничего сложного
5) Явно не установлено нигде. Я просто предполагаю, что в случае снятия галочки на соответствующем праве разрешения, системой применяется Deny

В документации обычно рассматриваются случаи, когда разрешения даются на Шаринг или права на доступ к конкретному файлу.
Мне просто нужно как сделать конкретный пример, а потом я уже по образцу сделаю все остальное.

godata Разрешения на шаринг установлено: для Domain Users - только чтение, Локальный администратор - полный доступ, System- полный доступ. Все. »
Предположу, что членам группы Отдел1 не хватает прав на запись, в расшаренную папку. Минимально надо добавить эту группу с правом Write на шару. В принципе можно добавить Domain users с правом Full access на шару, а доступ регулировать уже разрешениями NTFS.