[Michael]

Я бы сделал по другому.
На папку отдела выдать разрешения группе Domain Users следующие права
Чтение и выполнение
Список содержимого папки
Чтение.
Пользователям, принадлежащим к этому отделу - полный доступ
Для обеих групп - для параметра Применять выставить значение "Для этой папки, ее подпапок и файлов".
В папке отдела создать папки под именами пользователей (Пупкин Василий Петрович и т.д.), отменить для них наследование разрешений от родительского каталога и дать полный доступ самому пользователю.
Для простоты администрирования - добавь везде с полными правами доступа группу, в которой состоишь сам или конкретно себя, на случай решения проблем пользователей и бэкапа (если конечно политика безопасности компании позволяет тебе иметь полный доступ ко всем данным и бэкапишь от своего имени).
В итоге получается такая картина:
Доступ в именную папку имеет только сам пользователь
Любой пользователь отдела может творить что угодно в папке отдела, кроме чужих именных папок - доступа к ним не будет.
Все прочие доменные пользователи могут зайти и посмотреть в папке отдела что угодно, кроме именных папок сотрудников отдела.