Помогите разобраться: нужно сделать расшаренную папку с различными правами для пользователей одного домена.
Одна группа (локальная из доменных юзеров) должна полный доступ иметь.
А все остальные доменные юзеры должны только читать.

Ставлю в шаре свойствах - все для всех, а в секьюрити создаю группу для полного доступа, а всем просто зарегестрированным
пользователям ставлю только чтение - и ничего не получается - полное чтение для отдельной группы работает, а
просто пользователи домена почему-то могут создавать свои папки и файлы, удалять не могут... Если им явно запретить
запись, то моя группа с полными правами тоже перестает писать - так как ее члены тоже являются зарег. пользователями.
Совсем замучился....

Значит неправильно указываешь что-то. На шару ставь доступ - для всех. А на секьюрити - уже нужный доступ. Попробуй ещё раз, и несколько раз проверь. Кстати, а как проверяешь доступ? Может у тебя юзер неявно входит в какую-то разрешающую группу?

Я так и делал - на шару все-всем, а в секьюрити одной группе всё, а аунтефицированным пользователям только галочку на чтении.
Но они при этом почему-то могут создавать свои папки и файлы. Я тогда поставил запрет на запись, но этот запрет начинает
действовать и на мою группу с полным доступом - видимо потому, что они тоже относятся к аутентифицированным юзерам. Как же
обойти эти вилы?

аунтефицированным пользователям только галочку на чтении. »
А Ваша группа с полным доступом не аутентифицируется, что ли? Domain Users - чтение ставьте.

Так все мои пользователи - и те кто должен читать и те кто должен писать
одинаково принадлежат и к authentificated и к domain\users - в этом-то вся и проблема.
Не могу же я заводить отдельную группу только для чтения и вносить туда всех
пользователей домена....
Почему не работает вариант: указать всех на чтение, а отдельную группу - всего-то 4 юзера
на запись? - каким-то образом появляется сразу у "чтецов" право на запись...
Как эта система прав вообще работает?

Как эта система прав вообще работает? »
Какой доступ в security сейчас установлен?
Authenticated - чтение, отдельная группа из 4 человек - запись?
И всё?
Или еще какие-то права кому-то даны?
Покажите полный список с закладки security - для каждой группы/юзера - права доступа

security

administrators - полный доступ
system - полный доступ
domain users -только чтение
otdel testirovaniya - полный доступ

share

domain users -только чтение
otdel testirovaniya - полный доступ


Еще такая фигня произошла - я удалил юзера из отдела тестирования, а его права все равно меняются вместе
с правами группы отдела тестирования. А когда и я и он в группе о.т. - у нас все равно бывают разные права....
Вообще уже ничего не понимаю.

domain users -только чтение »
Надо - полный доступ.

я удалил юзера из отдела тестирования »
Юзер после этого перелогинился?
Членство в группах "просчитывается" в момент логона юзера.
Пока он не перелогинится - будет считаться, что он всё еще в этой группе.

share
domain users -только чтение
otdel testirovaniya - полный доступ »В настройках шары можно вообще поcтавить everyone - modify и остальных всех удалить.
Всё будет рулиться только NTFS-разрешениями.

patrick4patrick, Ставлю в шаре свойствах - все для всехВсмысле в свойствах шары дан полный доступ Everyone? Даже не авторизованым, а именно всем подрят? в секьюрити создаю группу для полного доступагруппы создаются в AD. всем просто зарегестрированным пользователям ставлю только чтение - и ничего не получаетсяВсмысле вы даёте авторизованым пользователям доступ только на чтение и при этом вас не устраивет то, что они потом не могут удалять чужие файлы? Или только свои?полное чтение для отдельной группы работаетчто подразумевается под ПОЛНЫМ чтением? Бывает не полное?
просто пользователи домена почему-то могут создавать свои папки и файлы, удалять не могутА должны?

В общем - проблема в том, что если дать в шаре свойствах всем полный доступ, а в секьюрити определенной группе - полный доступ, а всем просто зарегистрированным пользователям - только чтение (все пользователи одного домена), то тем, кто должен только читать почему-то все равно можно создавать свои папки и файлы... А если им, опять же в секьюрити, явно запретить запись, то тогда запись запрещается и той группе, которая должна иметь на нее право...
Вопрос: Как правлиьно организовать разделенные права на шаре папку для пользователей одного домена?

Можно попробовать так:
1) Вкладка Share > Everyone- полный доступ
2) Вкладка Security: Domain Users - Read only
TestGroup - Full Control
3) Обрати внимание на кнопку Advanced во вкладке Security, там расширеная настройка прав.
Там будь осторожен с галочкой "Replace permissions........." Иначе все вложенные папки получат те же права, что и корень, все остальные просто удалятся.
4) Группу я бы советовал создавать всё таки в AD, а не локальную, если потом придётся переносить сервер на новое железо с локальными группами будут проблемы. Я сам с таким столкнулся.

patrick4patrick,
http://www.xnets.ru/plugins/content/content.php?content.157
http://forums.microsoft.com/TechNet-RU/ShowPost.aspx?PostID=2789612&SiteID=40

Спасибо - статьи интересные...