[wertyg]

проверяем:
создаём отдельный ресурс и убираем в разрешения на него всех кроме администратора. владелец - администратор. пробуем получить доступ - убеждаемся что только админы и никто другой не получат доступ. ок.
добовляем к разрешениям вторую группу. владельца не меняем. убеждаемся что и они теперь получают доступ. ок.
добавляем третью группу к разрешениям, а второй явно запрещаем доступ. владельца не меняем. убеждаемся что админы и третья группа получают доступ остальные нет.
прибавляем пользователю из второй группы членство в третьей. вот тут то начинаеться интересное.) этот пользователь не должен получить доступ к нашему ресурсу. а у тебя что наоборот?

если у тебя наоборот то тут точно просим поддержки зала.) вообщето применяються сначала запрещающие политики потом разрешающие. то что я написал лично проверил у себя. всё работает иммено так! у меня пользователь состоит во второй и третьей группе, третьей - разрешён доступ, второй - запрешён. он не получает доступ! и это правильно.

з.ы. Win2003 SP1 R2. проверь все ещё раз всё внимательней!

GreenIce, прав. лог-перелог предполагаеться по-умолчанию.