Нужен запрет доступа к сетевой папке с любого южена с некой машины.
 

В общем домен 2003,
есть общая сетевая папка с правами
на доступ:
"все" чтение/запись

права на НТФС
разрешения
"все" чтение/запись/изменение/удаление
"гость" чтение/запись/изменение/удаление
"пользователи домена" чтение/запись/изменение/удаление

Нужно запретить доступ только к этой папке с любой учетной записью с определенного компьютера.

пробовал ставить
запрет
myuser\domen.ru полный
такая вешь работает- доступа юзера, работающего на нужной машине, нет ,
но если подключить сетевой диск этой папки с учеткой "гость"- то доступ- есть.

пробовал ставить запрет на имя машины-
запрет
mycomputer$ полный
вот это ограничение разрешения - не проходит.

В общем нужно решить задачу- изолировать у одной МАШИНЫ с любым юзером доступ к некой сетевой папке, у остальных работающих этот доступ оставить.
Гостевой доступ отменить у папки не могу, потому что есть другие машины вне домена,которым такой доступ нужен.

Странные желания иногда бывают :) Чтож, попробую помочь. На уровне политик безопасности - не выйдет,
это запрещает Local Service доступ, тоже не то.
Единственное, что пришло в голову - сконфигурить Windows Firewall. Примерно так:
netsh firewall set portopening TCP 139 disable custom <ipaddress>
где 139 - порт SMB по умолчанию, а IP-Address - cоответственно адрес сервера. содержащего ресурс.
Сомнение одно - по-моему, исходя из скудных знаний сетевых технологий, TCP не фильтруется по портам. Но могу и ошибаться.

проблема в том что этой машине нужно закрыть доступ к только одной расшаренной папке на сервере, но на этом сервере есть и папки , к которым данной машине доступ нужно оставить. Так что через брандмауэр это не прокатит. Но спасибо за совет.

babki, а если попробовать так: создать на вашем сервере какую-либо учетку (username), на требуемую папку закрыть данной учетке доступ, а на компьютере с которого нужно закрыть доступ создать батник примерно такого содержания:
"net use \\server\resource /user: username password". Этот батник повесить на автозагрузку - только не на уровре пользователя а на уровне машины (например в HKLM\Software\Microsoft\Windows\CurrentVersion\Run - но не в аналогичную ветвь в HKCU). Смысл: при загрузке компа будет отрабатывать команда net use, которая определенной папке на определенном компе будет прописывать определенного пользователя, а именно этому пользователю доступ к данной папке будет закрыт NTFS - разрешениями (PS: сам не пробовал, но такой эксперимент провести можно).

в принципе - идея хорошая, попробую..
но что нибудь попроще есть , какая нибудь идентификация машины и запрет ей доступа?

babki, нет. __sa__nya, все правильно сказал и описал. у меня такой же батник висит на машинах, которые не в домене, но на одну шару им доступ нужен. Все прекрасно работает. Думаю в обратную сторону тоже без проблем!