[snark]

Triarch, я делаю так:

1) на личную папку пользователя назначаю такие права



Сделал скрин так, чтоб были видны только включенные галочки. Если не видно, значит, галка не установлена.

Если нужно автоматизировать, то поможет кусок из скрипта на PowerShell

Код:

$DirNameFull="\\server\share\$DirName"
if (!(Test-Path $DirNameFull))
{ 
   Write-Host 'Папки' $DirNameFull 'нет, создадим ее и назначим права.' 
   New-Item -Path $DirNameFull -ItemType Directory
   # icacls $DirNameFull /grant:r "$($env:USERDOMAIN)\Администраторы домена:F" /T /C 
   # F - full, RX - read & execute, 
   # OI - Object Inheritance (наследование объектами - файлы), 
   # CI - наследование контейнерами (папки)
   # Права на чтение и запись для подпапок и файлов.
    icacls $DirNameFull /grant:r "$($user):(OI)(CI)(IO)M" /T /C 
   # Права на чтение, запись и выполнение только для этой папки.
    icacls $DirNameFull /grant:r "$($user):(GR,GE,GW)" /C 
}

2) Чтоб зайти чужаку в папку другого отдела, пришлось наряду с группами безопасности Server-Share-RW, Server-Share-RO, Server-Share-FC (соответственно, для доступа к папке Share на сервере Server — чтение/запись, чтение, полный доступ) создать группу безопасности Server-Share-RI (для входа в папку). Права такие:



То есть пользователи в группе Server-Share-RI могут лишь зайти в папку и прочитать разрешения. Соответственно, если внутри каталога \\server\share есть подкаталоги 01, 02, и так далее, — то на каждый подкаталог ставим нужный доступ группе Server-Share-01(02, 03 etc), и эту группу безопасности включаем в состав группы Server-Share-RI. После этого перелогиниваем пользователя, которому делали доступ, и проверяем под ним.