На сервере (Windows 2003 Server SP1, домен в mixed mode) имеется шара, на которую в свойствах шары дан доступ Authenticated Users на изменение, а в Security прописана куча локальных групп доступа, где ~10 группам дан доступ на изменение и одной только на чтение. В этих группах имеем разный набор доменных пользователей.
Вопрос: какой доступ получит пользователь находящийся как в группе для чтения так и на изменение.

Приоритет имеет запрет, так что у него будет только чтение.

Как такового Deny не указано ни в одной группе.
Одно дело когда я персонифицировал пользователя указав ему только чтение. Но вот ситуация с разграничем доступа посредством локальных групп меня немного смущает. Официальную инфу на сайте microsoft я не смог найти.

Мне кажется так. На уровне шары у меня доступ дан всем пользователем прошедшим авторизацию в домене. А на уровне папки уже действуют NTFS оганичения в соответствии с доступами раззграничеными через SIDы локальных групп безопасности в которые, в свою очередь, включены доменные пользователи. Так вот не понятно, что смотреть локальные политики безопасности или политики домена, чтобы понять этот механизм. Наверняка ведь можно выбирать как поведёт себя система в подобных случаях.

Эмпирическим методом было выяснено - Пользователь получит доступ на изменение. Только тестировал я НЕ с локальными группами, а с глобальными доменными.

А также выяснилось, что это действительно если в свойствах шары авторизованым доменным пользователям дан доступ на изменение.

В случае если им ТАМ дан доступ только на чтение какие бы я не давал доступы в Security я не смогу по сети ничего сделать с вложеными файлами и папками кроме как прочитать их!