[WindowsNT]

Пользователи должны иметь разрешения Чтения и Запуска программ из системного каталога. This is by design.
К разрешениям папок C:\Users, C:\Program Files и C:\Windows не прикасайтесь.

[mwz]

Цитата hozman:

[Windows] были разрешения для группы Пользователи на чтение, список содержимого папки и чтение и выполнение »

Стандартные разрешения.

Цитата hozman:

А группа TrustedInstaller нужна для кого? »

"Доверенный установщик". Системная запись, связанная с установкой некоторых программ и обновлений (да и самой Windows).
Я ж не говорил гадать, а говорил сравнить.
А на другие (действительно мои) вопросы ответа я не увидел.

Цитата WindowsNT:

К разрешениям папок C:\Users, C:\Program Files и C:\Windows не прикасайтесь »

Я бы сказал, что по крайней мере без консультации и подтверждения минимум парой авторитетных участников.
Поскольку пока неизвестно, ЧТО сделал бывший админ, и из-за чего пользователи могут лазить по папкам как друг друга, так и администраторов.

hozman
С папкой Windows уже разобрались: там действительно что-либо трогать нельзя.

[hozman]

Цитата mwz:

Поправьте, пожалуйста автора цитаты, что вы привели в предыдущем сообщении »

Поправил!

Цитата mwz:

Стандартные разрешения »

Так странно, что стандартные разрешения - это всё видеть всем... Это типа правильно?

Цитата mwz:

Я ж не говорил гадать, а говорил сравнить. »

Сравнить не с чем. У меня один сервер на 2088 R2. Второй не поднял ещё. Остальные машины, которые имеются в досягаемость на Win 2003.

Цитата mwz:

А на другие (действительно мои) вопросы ответа я не увидел. »

Другой вопросы был касаемо Локальных групповых политик. Вот скрин:

Цитата mwz:

Поскольку пока неизвестно, ЧТО сделал бывший админ, и из-за чего пользователи могут лазить по папкам как друг друга, так и администраторов. »

Групповые политики я привёл. Причины почему на некоторые каталоги, например, Windows, Program Files (x86), Program Files ... стандартным разрешением является правило на чтение и запись для всех пользователей не понятно вообще. Ведь, как я понимаю, эти каталоги системные, и, в первую используются системой, например, каталог Windows.

Цитата mwz:

hozman С папкой Windows уже разобрались: там действительно что-либо трогать нельзя »

Вы видать разобрались, а я не особо логику понял. Почему ВСЕ должны видеть системные файлы операционной системы? Зачем это ВCЕМ?

[ShaddyR]

Цитата hozman:

Почему ВСЕ должны видеть системные файлы операционной системы? Зачем это ВCЕМ? »

затем, что систему сложно убедить в том, что "запускать все необходимое, неизвестное заранее" и "не видеть это ГЛАЗАМИ" - разные вещи.

Цитата mwz:

с не особо корректным советом »

если некорректность предполагается в неверном понимании того, что я говорил обо ВСЕХ папках компьютера - тогда ДА, некорректно. Я озвучивал действия, связанные с пользовательскими папками, созданными для хранения\обмена данными. Больше того, пользовательский профиль каждой УЗ имеет по-умолчанию как раз такую настройку - СИСТЕМА+ИМЯ_ПОЛЬЗОВАТЕЛЯ+ВСЕ_АДМИНИСТРАТОРЫ. В чем некорректность?

[mwz]

Цитата ShaddyR:

В чем некорректность? »

Получается что неправильно понял (по моемУ мнению, исходная формулировка не совсем точна и допускает расширенное толкование -- откуда моя фраза и возникла), извиняюсь...
А просьбу уже удалил ещё не дочитав до вашей реплики.

hozman, в Политиках ничего лишнего не вижу.

На папку же USERS как раз должны быть разрешения для всех пользователей: ведь все учётные записи лежат внутри этой папки.
А вот на папки конкретных учётных записей (на профили пользователей) -- тут строго как и сказал ShaddyR: "Система + Данный_пользователь + Администраторы (== группа администраторов)".

И если один из пользователей не-администраторов может лазить по папкам других, и тем более по папкам администраторов -- то это может означать или что на профили пользователей даны неверные права, или что группа Администраторов включает в себя явно или косвенно (с наследованием от других групп) всех пользователей. Но поскольку вы говорите что в Администраторах у вас только две конкретные учётные записи, и никакие группы не входят -- то остаётся неверная расстановка прав. Чудес же не бывает...

Так что хотелось бы взглянуть на закладку "Безопасность" папки учётной записи хотя бы одного из администраторов, а также папки вновь созданного (хотя бы тестового) пользователя без административных прав.

PS
И просьбочка: если не получается подколоть вложение к ответу, то размещать по возможности на серверах, которые не орут со всплывающих окон флэшей (при попытке закрытия у меня аж вылетел плагин флэш-плеера) и не дают по нескольку других всплывающих окон когда пытаешься добраться до нормального разрешения скриншота.

[hozman]

По сути, вот возьмём мой D диск:



Видно, что папка Книги вообще не открыта для общего доступа по сети. А значится, папка должна быть доступна только по RDP, по сути.
Идём дальше... Открываю, Свойства-Безопасность и вижу вот что там имеется группа пользователи, которая по какой-то причине там по умолчанию! Я их туда не добавлял точно:



Решил я группу Пользователи удалить... Нажимаю удалить и вижу ругань системы следующего вида:



В чём причина? Администратор не может удалить пользователя или группу пользователей из доступа к папке... По-моему это уже чересчур.

[Iska]

Цитата hozman:

Видно, что папка Книги вообще не открыта для общего доступа по сети. А значится, папка должна быть доступна только по RDP, по сути. »

По сути — не совсем верно. Если машина в домене, и не отключено автоматическое создание административных ресурсов, она будет доступна и по «\\Server\d$\Книги».

Цитата hozman:

Открываю, Свойства-Безопасность и вижу вот что там имеется группа пользователи, которая по какой-то причине там по умолчанию! Я их туда не добавлял точно: »

Вы не добавляли. Они там есть по умолчанию. С правами листинг, чтение и выполнение.

Цитата hozman:

Решил я группу Пользователи удалить... Нажимаю удалить и вижу ругань системы следующего вида: В чём причина? Администратор не может удалить пользователя или группу пользователей из доступа к папке... По-моему это уже чересчур. »

Причина в том, что разрешения для этого каталога наследуются от родительского. Снимите волшебный флажок «Наследовать … от родительского объекта … разрешения», выберете «Копировать разрешения», и затем только удалите группу, если так хочется.

P.S. Ровно об этом же написано в сообщении об ошибке удаления.

[mwz]

Цитата hozman:

Видно, что папка Книги вообще не открыта для общего доступа по сети. А значится, папка должна быть доступна только по RDP, по сути. »

Все каталоги (папки), создаваемые вручную (или создаваемые установщиками в случае, если у установщик нет других встроенных указаний) по умолчанию наследуют права безопасности от родительского каталога, и вы видите эту галку. Как снять наследование и расставить собственные права -- вам сказано и в сообщении об ошибке и разъяснено Iska. В вашем случае права наследуются от прав на весь диск D: (а какие именно -- можете посмотреть закладку "Безопасность" в его Свойствах).

Ни в коем случае не трогайте права для системных папок, если это не связано с устранением последствий ручного вмешательства для приведения разрешений к таким, какие были по умолчанию. Для папок же, созданных вручную -- поступайте как вам будет угодно, если представляете последствия.
Вариант 1: вы добавляете в права группу "Все" и даёте ей запреты на папку; в этом случае даже администраторы будут ограничены по пунктам запрета, поскольку запрет всегда имеет приоритет над разрешениями, а Администраторы в неявном виде являются членами группы "Все" -- как и любая учётная запись вообще.
Вариант 2: кто-то до вас включил пользователя с административными правами также и в группу "Пользователи" (мне это встречалось); в этом случае установка запретов для группы "Пользователи" приведёт к тому же эффекту для этого пользователя с административными правами.

Если вы создадите папку внутри папки Users, то у этой папки будут все те же права, что и у самой папки Users (можете проверить). В отличие от ситуации, когда папка создаётся здесь системой при создании нового пользователя: если посмотрите, то там этой галки нет, а на иконке самой папки стоит замочек, говорящий о том, что права отличаются от прав родительской папки (но если у пользователя нет разрешений на такую папку -- то замочек он не видит). Сравнить права на папку, созданную здесь вручную, и права на какую-либо из папок профилей пользователей можете сами.

[WindowsNT]

Вполне очевидно, что вы не прочли даже самую первую книгу, самый первый учебный курс администрирования Windows. Не морочьте голову ни себе, ни нам. Пусть настройкой безопасности занимаются компетентные люди.

Умение читать — первое умение Администратора.