Нужно настроить права на папку, чтобы пользователи из группы "Администраторы" имели полные права, а пользователи из группы "Пользователи" не могли запускать и удалять из этой папки файлы, система - WinXP Pro with SP3. На вкладке "Безопасность" дал полный доступ для "System" и "Администраторы". Для "Пользователи" убрал галки с "Полный доступ" и "Изменить", далее на вкладке "Дополнительно", поставил галки на "Запретить": "Обзор папок / Выполнение файлов", "Удаление подпапок и файлов" и "Удаление". В итоге получилось, что пользователи из группы "Администраторы" тоже не могут выполнять и удалять файлы. Не пойму почему права на запрет для группы "Пользователь" действуют на группу "Администраторы", может я что-то не так сделал и задал не правильно права?

Вот скриншот:
http://pics.kz/i2/b1/9c/b19c65a72587ef5038a1e848dcc12b93_preview.png (http://pics.kz/v/2G2Q) - http://pics.kz/i2/06/40/064050c18e8f0279618401e85ef5a916_preview.png (http://pics.kz/v/2G2T) - http://pics.kz/i1/2c/49/2c4927996e1f0008b98bfb1e45561e50_preview.png (http://pics.kz/v/2G2V) - http://pics.kz/i3/b0/34/b03411219e8c506fcba494f12fd0a5fa_preview.png (http://pics.kz/v/2G34)

далее на вкладке "Дополнительно", поставил галки на "Запретить": "Обзор папок / Выполнение файлов", "Удаление подпапок и файлов" и "Удаление"
Для каких групп? Для "Все"?

Для каких групп? Для "Все"? »
Ставил для группы "Пользователь", на скрине я привел как поставил.

Вот, что пишет Cacls
C:\1 BUILTIN\Пользователи:(OI)(CI)(DENY)(специальный доступ:)

DELETE
FILE_EXECUTE
FILE_DELETE_CHILD

NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Администраторы:(OI)(CI)F
BUILTIN\Пользователи:(OI)(CI)(специальный доступ:)

READ_CONTROL
SYNCHRONIZE
FILE_GENERIC_READ
FILE_GENERIC_WRITE
FILE_READ_DATA
FILE_WRITE_DATA
FILE_APPEND_DATA
FILE_READ_EA
FILE_WRITE_EA
FILE_READ_ATTRIBUTES
FILE_WRITE_ATTRIBUTES

aVitaliy, запрет для группы Пользователи действует и на администраторов.
Дело в том, что группа Пользователи по умолчанию содержит встроенные идентификаторы:
NT AUTHORITY\ИНТЕРАКТИВНЫЕ
NT AUTHORITY\Прошедшие проверку

Так и должно быть.
При этом любая учетная запись, совершившая интерактивный вход в систему, автоматически получает принадлежность к группе.

Использование Deny нежелательно, лучше манипулировать разрешениями, а не запретами.

Petya V4sechkin, если дополнительно потом расшарить эту папку, то почему пользователи из группы "Администраторы" обращаясь к этой расшаренной папке по сети - поподают под ограничения, которые я задал для группы "Все" или "Сеть", при этом если не добавлять эти группы на вкладке "Безопасность", тогда по сети вообще Админы не могут подключаться к этой расшаренной папке?

aVitaliy, администраторы и в группу "Все" входят, как нетрудно догадаться.

администраторы и в группу "Все" входят, как нетрудно догадаться. »
Да понятно, но вот Локально на том же самом компе, если вместо группы "Пользователи" поставить группу "Все" и не выставлять Deny, то работает правильно, Админы имеют все полные права, а Пользователи только часть, которые я указал для группы "Все", а вот по сети почему это не срабатывает? Админы по сети обращаясь к расшаренной папке обладают правами указанными для группы "Все"?