Доброго всем дня.
Коллеги, интересная проблема.
Есть Server 2008 (КД, файлопомойка), на нём пользователи, объединённые в группы для более удобного управления доступом.
Есть рабочие станции (не в домене) от Windows XP до Windows 8.1, пользователи на них соответствуют пользователям сервера.
Пользователи прекрасно видят файлопомойку, имеют доступ туда, куда лично им или группе вход разрешён и, соответственно, не видят то, куда запрещён.
Есть рабочая станция на Windows 10 Pro с теми же вводными, но её пользователь имеет доступ только в те папки, где указан лично он на закладке "Безопасность" или группа "Users" домена, если указана его группа, то фигушки.
Извечный вопрос: кто виноват и что делать? (С)

где указан лично он »

Первое, что бросается в глаза, отказаться от распределения по пользователя или встроенным группам. Создать специальный группы и раздавать только через них.
Скорее всего у тебя получается пересечения доступа пользователя и группы в которой он состоит (не состоит).

отказаться от распределения по пользователя или встроенным группам
Группы и пользователи не встроенные, они в AD.

Скорее всего у тебя получается пересечения доступа пользователя и группы в которой он состоит (не состоит)
Повторяю, что всё прекрасно работает:
от Windows XP до Windows 8.1

Пример:
Пользователь в AD "Васисуалий" является членом группы AD "Терпилы". Группа "Терпилы" имеет полный доступ к папкам "Анализы" и "Котики". Кроме того, все пользователи AD имеют полный доступ к папке "Ругань с начальством".
Если наш Васисуалий работает на ОС от Windows XP до Windows 8.1, то он видит на серверной шаре следующие папки: "Ругань с начальством", "Анализы" и "Котики".
Если Васисуалию поставить Windows 10 Pro, то он увидит только "Ругань с начальством", доступную всем пользователям домена.
Приходится конкретно пользователю AD "Васисуалий" давать полный доступ к папкам "Анализы" и "Котики".
Так нагляднее?

Есть рабочие станции (не в домене) »
так они у вас в домене или вне домена?

Если Васисуалию поставить Windows 10 Pro, то он увидит только "Ругань с начальством", доступную всем пользователям домена.
Приходится конкретно пользователю AD "Васисуалий" давать полный доступ к папкам "Анализы" и "Котики". »
а группа юзеров в АД и группа в workgroup-e - это одна и та же группа?
У меня ощущение, что копать надо в этом направлении..
Там, если как-то можно прописать группу по сиду или чему там - то сделать это, а не просто одно название..
Ну и вообще, есть сомнения, что юзер вне домена сможет получить доступ к шарам, ограниченным только для некоторых групп участников домена.. .

а группа юзеров в АД и группа в workgroup-e - это одна и та же группа? »
помнится, группы с одинаковыми названиями имеют разный SecurityID (это которые такого вида -S-1-5-21-1004336348-1177238915-682003330-512). В свое время намучался с доменом и пользователями вне домена, в итоге убрал домен вообще.

да, я это и имел в виду, говоря про сиды.

так они у вас в домене или вне домена?
Рабочие станции, о которых идёт речь, вне домена в рабочей группе.

а группа юзеров в АД и группа в workgroup-e - это одна и та же группа?
Да, конечно. Напоминаю, что всё работает, если станции:
от Windows XP до Windows 8.1

есть сомнения, что юзер вне домена сможет получить доступ к шарам
Может, проверено, см. выше.

Итак, рассказываю, чем закончилась эпопея.
Оказалось, что пользователь станции с Windows 10 не получает доступа в папку сервера-КД, если находится на сервере-КД в группе типа "Локальная". Если тип группы "Глобальная" или "универсальная", то всё в ажуре.
Не ждал такой подножки от M$.