Добрый день!
Разъясните для меня такой вопрос:
есть домен, асть файловый сервер с общей папкой.
Доступ в папку:
Сетевой - Пользователи домена - на изменение. Все - удалены.
Безопасность - наследование снято, группа Пользователи - удалена. Админы сервера - полный доступ, Группа на чтение - разрешено чтение, Группа на запись - разрешено изменение. Группы доменные.

Теперь такая ситуация - Иванов был членом домена, и входил в группу на запись. Он насоздавал в этой папке подпапок и файлов в них. В чужих подпапках он тоже насоздавал файлов.
После этого Иванов переходит на работу в другой отдел, и его удаляют из группы на Запись, НО - его включают в группу на Чтение. Т.к. те файлы нужны ему по работе, чтобы находить в них информацию.

Итог - Иванов все равно будет иметь доступ на Изменение к тем папкам и файлам, которые создал сам, как владелец? Он ведь остается владельцем, так? Или я ошибаюсь?

Если доступ к тем файлам останется, то как его прекратить? Сделать владельцем всей общей папки Админов сервера (локальную учетку, или доменного)? Если так - то как же FSRM, который ограничивает файлы, например, по объему, ориентируясь на атрибут владельца?

Проясните этот пробел у меня. Заранее благодарен!

mcmurphy,

В Вашем случае нужно создавать жёсткие привязки и убрать не только наследование, но и группу "Создатель-владелец". И сделать это на головной папке и распространить на все подпапки. Тогда владельцем папки или файла будет группа в которой он состоит, а не сам пользователь.

Спасибо за ответ! Вижу такую группу - Создатель-владелец. А что значит - создавать жёсткие привязки? Или это удаление "Создатель-владелец" и есть?

А что значит - создавать жёсткие привязки »

Удаление всех групп и пользователей которые присутствую у данной папки/файла по умолчанию (кроме системы) и назначение своих групп.

Или это удаление "Создатель-владелец" и есть? »

И это удалять в том числе.

И это удалять в том числе. »
Спасибо за советы. А как быть с учетом владения файлов, ведь теперь владельцем будет группа, и непонятно будет кто именно скопировал этот файл (кто владелец)? Или третьего не дано - или владельцем будет группа или пользователь, но тогда может быть проблема с доступом через владение?

А как быть с учетом владения файлов, ведь теперь владельцем будет группа, и непонятно будет кто именно скопировал этот файл (кто владелец)? »

Владелец группа. А кто скопировал это уже другой вопрос и к данной задаче отношения не имеет.

Или третьего не дано - или владельцем будет группа или пользователь»

Именно так.

но тогда может быть проблема с доступом через владение? »

Какая проблема если владелец группа!? Я тут не вижу проблем.

Какая проблема если владелец группа!? Я тут не вижу проблем. »
Я имею в виду, что как же тогда отслеживать, кто создал файл (владелец-то будет группа). Не получиться это?

Узнать кто создал файл легко - включаем файловый аудит на сервере и следим за этим. Как будет себя вести служба FSRM если убрать создатель-владелец? Она будет считать объём по группе владельцу.
Чтобы оставить создателя-владельца пользователем, но лишить его возможности редактировать есть четыре варианта:

Пересмотреть структуру файлового сервера.
Переделать NTFS ACL фактически использовав запрет на изменение для "группы чтения". Права с запретом имеют приоритет над правами разрешения.
Ручной или автоматический запуск скрипта, изменяющего NTFS ACL каждый раз при перемещении юзера между группами.
Использовать технологию DAC (https://docs.microsoft.com/en-us/windows-server/identity/solution-guides/dynamic-access-control--scenario-overview) от Майкрософта.