[paranoya]

Проверить, что конкретный пользователь напрямую или через подгруппы входит только в группу которую нужно.
Выложи сюда настройки политики через которую настраиваешь подключение дисков. А так-же к какому OU она прилинкована и кто в этом OU находится.

[Busla]

Цитата Timofey_p:

и сделать всё "правильно" »

правильно - не мапить диски, а через DFS выстроить логичную структуру и использовать UNC-пути

[James Marsh]

Цитата Busla:

правильно - не мапить диски, а через DFS выстроить логичную структуру и использовать UNC-пути »

А есть где-то мануал по типу "для самых маленьких", бо чую скоро нам порядок со своим хозяйством наводить....

[Timofey_p]

Цитата paranoya:

Проверить, что конкретный пользователь напрямую или через подгруппы входит только в группу которую нужно. Выложи сюда настройки политики через которую настраиваешь подключение дисков. А так-же к какому OU она прилинкована и кто в этом OU находится. »

Не понятно почему исчезли прикреплённые файлы, но на предпросмотре они точно были. Надеюсь сейчас никуда не денутся.

Чтобы не чудить с реальными пользователями сделал тестовый OU с тестовыми группами и пользователями (рис. 1)
Создал сетевую папку \\dc01\test$, в которой находятся папки Disk_J, Disk_K, Disk_L.
Сетевой доступ к папке \\dc01\test$ открыт для групп Disk_J, Disk_K, Disk_L (на чтение) и админа (полный доступ) (рис. 2), разрешения NTFS примерно такие же (рис. 3) + СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, который не вместился.
Разрешения NTFS на каждую из папок Disk_J, Disk_K, Disk_L стандартные (Админы, система, создатель) и соответствующая группа (Disk_J, Disk_K, Disk_L) с правами на чтение/просмотр/изменение.

В группе Disk_J - пользователи t1, t2.
В группе Disk_K - пользователь t3.
В группе Disk_L - Пользователи домена, т.е. должен подключиться у каждого тестового пользователя.
Тестовые пользователи находятся в группах перечисленных выше и в группе Пользователи домена.

В политике описаны только "Сопоставления дисков". 1-й строкой идёт удаление всех дисков начиная с диска I (отключение всех старых оставшихся дисков), последующие 3 правила подключают 3 перечисленных выше диска с настройками (рис. 4,5) в которых в "нацеливании" прописаны соответствующие группы.

Политика работает, но не сразу. После изменения сопоставления пользователей и групп, приходится перелогиниваться или перезагружаться. Но как всегда в тесте работает более-менее стабильно.
В логах тестового компа нашёл записи (своими словами):
1) политика не применена, т.к. отсутствует подключение к домену и будет применена при подключении.
2) через минутку идут сообщения об успешном подключении к домену и применении политики.
Компы получают IP по DHCP, с роутера, может это является причиной такой работы политики? ДНС-ы в роутере прописаны "правильные", т.е. указывающие на 2 внутренних контроллера домена, более никаких ДНС-ов не раздаётся, внешние прописаны на этих 2-х контроллерах в настройках ДНС-сервера.

[Timofey_p]

Цитата Busla:

правильно - не мапить диски, а через DFS выстроить логичную структуру и использовать UNC-пути »

Можно поподробнее?
Хоть кажется, что это не применимо к нам... бюджет очень ограничен, выкручиваемся как можем... Госпредприятие...

[paranoya]

Цитата Timofey_p:

В логах тестового компа нашёл записи (своими словами): 1) политика не применена, т.к. отсутствует подключение к домену и будет применена при подключении. 2) через минутку идут сообщения об успешном подключении к домену и применении политики. Компы получают IP по DHCP, с роутера, может это является причиной такой работы политики? ДНС-ы в роутере прописаны "правильные", т.е. указывающие на 2 внутренних контроллера домена, более никаких ДНС-ов не раздаётся, внешние прописаны на этих 2-х контроллерах в настройках ДНС-сервера. »

Сделай на тестовом компьютере статический IP-адрес и проверь появление этих сообщений. Если сообщения будут появляться, то стоит подумать об обновлении драйверов сетевой карты и тестирования локальной сети.

Вообще, как заметили выше тебе стоит смотреть в сторону DFS, это встроенная в сервер возможность объединить файловые ресурсы в одном месте, что удобно для юзеров.
На прежней работе я это решал так:
Все документы всех подразделений лежат на отдельном рейд-диске в одной корневой папке.
Эта папка сделана как DFS-root и расшарена.
Всем юзерам подключается только одна буква тем же способом, что делаешь и ты.
Каждый юзер видит только папку своего подразделения и имеет доступ только к ней.

[El Scorpio]

Цитата Timofey_p:

Хоть кажется, что это не применимо к нам... бюджет очень ограничен, выкручиваемся как можем... Госпредприятие... »

Очень даже применимо
Никакого "бюджета" для этого не потребуется.

1. Рисуете (можно на бумаге) дерево каталогов, каким оно должно быть по вашему мнению
2. Открываете на сервере в "администрировании" оснастку DFS
3. Создаёте корневой каталог \\ДОМЕН\DFS. Указываете сетевую папку на сервере (самом КД), где будет храниться этот корень. Если есть несколько серверов (контроллеров домена), то укажите их все, чтобы система сохраняла работоспособность при отключении одного.
4. Создаёте в этом каталоге дерево DFS по первому этапу
5. Создаёте на файловых серверах сетевые папки (с долларом на конце для скрытности) и цепляете их к веткам дерева DFS
Если есть два и более серверов, можно к одной ветке подключить сетевые папки с разных серверов - в этом случае будет работать резервирование. Серверы будут делать репликацию (автоматическую синхронизацию) изменяемых файлов.
Единственное - нельзя делать резервирование папок с многопользовательскими базами данных (1С и т.д.). Потому что в этом случае разные пользователи будут работать с разными экземплярами баз данных на разных серверах, и никакая репликация тут уже не поможет.

Цитата paranoya:

Все документы всех подразделений лежат на отдельном рейд-диске в одной корневой папке. Эта папка сделана как DFS-root и расшарена. »

Плохая идея - лучше сделать несколько разных сетевых папок и подключить их к разным ветвям дерева DFS.

Цитата paranoya:

Всем юзерам подключается только одна буква тем же способом, что делаешь и ты. »

Всем юзерам на рабочий стол закидываются ярлычки на \\ДОМЕН\DFS\....\НужнаяПапка
Сетевые диски нужны только для поддержки старых программ, которые не умеют работать с сетевыми папками

[Timofey_p]

Цитата El Scorpio:

Очень даже применимо Никакого "бюджета" для этого не потребуется. »

Ну... у нас таки с местом и проблемы...

Как я понял DFS отличается от сетевых папок тем, что настроили, указали общий корень и можно настроить репликацию/перемещение между серверами, а с сетевой папкой - сменил сервер, поменяй путь к папке.
Есть плюс, гляну в этом направлении. Но есть минус: ярлыки на рабочем столе. придётся ещё научить пользователей не создавать ничего на рабочем столе. Думаю, что в данном случае лучше примапить сетевые диски в "Мой компьютер".

Смех смехом, но хочу понять что не так, что у меня не получается элементарные действия осуществить: или сопоставление дисков слабое место в политике, или у меня сеть гонит (неправильно настроена), или обновление политик на рабочих компах не срабатывает сразу?

Цитата paranoya:

Сделай на тестовом компьютере статический IP-адрес и проверь появление этих сообщений. Если сообщения будут появляться, то стоит подумать об обновлении драйверов сетевой карты и тестирования локальной сети. »

Всё верно. Глаз замылился и не подумал об этом.
Основной причиной почему не сделал этого раньше - то что все сидят на DHCP. Не хотелось бы переходить на статику.

После установки статики применение политики на тестовом стало намного стабильнее.
Может ли исправить ситуацию поднятие DHCP-сервера на контроллере домена? (сейчас так и сделаю, с ситуацией надо разбираться)
Спасибо за подсказку.

[paranoya]

Цитата El Scorpio:

лучше сделать несколько разных сетевых папок и подключить их к разным ветвям дерева DFS. »

Какой смысл в разных сетевых папках? И зачем плодить разные ветви, когда нужна одна под документы отделов?

Цитата El Scorpio:

Всем юзерам на рабочий стол закидываются ярлычки на \\ДОМЕН\DFS\....\НужнаяПапка »

И людям удобно постоянно делать двойной клик мышкой, чтобы найти нужную папку, вместо одного нажатия на кнопку раскрытия в дереве папок?