[Fidel]

Guest
Юноша!!! Учите матчасть!

Нет никаких "прав доступана уровне домена".

Существуют - домены, группы, пользователи и ресурсы. Группы (для простоты) бывают локальными и глобальными. Домен - это совокупность аккаунтов пользователей и компьютеров связанных общей политикой безопасности. Основной принцип раздачи прав на ресурсы со времен НТ - AGLP. Account ->Global group->Local group->Permissions. Пользователи заводятся в домене (их учетные записи хранятся на контроллерах домена). Далее, в домене создаются Глобальные группы, куда и помещаются пользователи домена. Глобальные группы называются глобыльными т.к. они видны во всем домене, т.е на любом компьютере, входящем в домен. Глобальные группы домена добавляются в Локальные группы компьютера (обратите внимание, что на компьютера, на контроллерах домена отсутствуют глобальные группы как класс). Локальным группам на компьютере раздаются права на доступ к ресурсам компьютера (файлы и папки на томах NTFS, расшаренные каталоги, реестр, почтовые ящики на vail-сервере и т.п.) и привелегии на выполнения различных общесистемных функций (смена времени, расшаривание папки, выключение компьютера и т.п.).

Права на досту к расшаренным файлам вычисляются так. Сначала проверяются права пользователя на расшаренный каталог. Если нет ЯВНОГО запрета, то пользователь получает те права, которые составляют сумму прав всех групп, в которые входит пользователь. Если нет явного разрешения ни одной группе (куда прямо или опосредованно через членство в других группах входит пользователь) или самому пользователю, то доступ считается запрещенным. Далее, при доступе к файлам и папкам на NTFS, начинают действовать разрешения NTFS. Доступ к ресурсу на NTFS определяется также, но с одним условием - он не может быть больше, чем доступ на расшаренный каталог. Т.е., если у пользователя право Read на расшаренную папку и право Change на файл в этой папке, то файл он сможет только читать.