доступ к папкам и подпапкам
 

есть подразделение "конструкторы" в ней пользователь "вася" он член группы "конструкторы" и "пользователь домена".
есть подразделение "бухгалтеры" в в ней пользователь "света" она группы "бухгалтеры" и "пользователь домена".

на сервере есть папки для каждого отдела (бухгалтеры, конструкторы. в них у каждого сотрудника своя папка под его именем). конструкотоы\вася, конструкотоы\петя.

1.нужно сделать чтобы папка конструкторы была отделена ото всех, кроме них никто немог изменять\удалять файлы. остальные могут только смотреть.
2.нужно сделать чтобы только пользователь "вася" мог делать в своей папке что угодно, другим доступа нет, даже тем кто находиться вместе с ним в одной группе "конструкторы"
вопрос, как это всё сделать, я в этом профан, может пример этого есть где?

Делаете на папке Конструкторы в закладке безопасность\дополнительно даете разрешение Содержимое папок\Чтение данных и Создание папок\Дозапись данных и применяете ее только на эту папку. Затем для Создатель-Владелец даете полные разрешения только для подпапок и файлов. Таким образом, у вас все кто входит в группу Конструкторы смогут видеть ее содержимое, но никто не сможет зайти в чужую папку, только тот кто ее создал. Соответственно, Вам надо сделать разрешения для создателя, пусть пользователи создадут себе папки и скопируют из существующих. Затем уже назначать разрешения на группу Конструкторы. Либо, сначала назначать на группу Конструкторы, а затем на каждой папке Конструкторы\Вася давать только ему полный доступ. Все зависит от количества пользователей.

Я бы сделал по другому.
На папку отдела выдать разрешения группе Domain Users следующие права
Чтение и выполнение
Список содержимого папки
Чтение.
Пользователям, принадлежащим к этому отделу - полный доступ
Для обеих групп - для параметра Применять выставить значение "Для этой папки, ее подпапок и файлов".
В папке отдела создать папки под именами пользователей (Пупкин Василий Петрович и т.д.), отменить для них наследование разрешений от родительского каталога и дать полный доступ самому пользователю.
Для простоты администрирования - добавь везде с полными правами доступа группу, в которой состоишь сам или конкретно себя, на случай решения проблем пользователей и бэкапа (если конечно политика безопасности компании позволяет тебе иметь полный доступ ко всем данным и бэкапишь от своего имени).
В итоге получается такая картина:
Доступ в именную папку имеет только сам пользователь
Любой пользователь отдела может творить что угодно в папке отдела, кроме чужих именных папок - доступа к ним не будет.
Все прочие доменные пользователи могут зайти и посмотреть в папке отдела что угодно, кроме именных папок сотрудников отдела.

Michael, Ваш способ даст возможность прочитать файлы в папке Конструкторы(ну или любой другой). Именно файлы. Если в папке будут только другие папки, тогда да, подойдет. А если еще и файлы, которые пользователи других отделов не должны видеть - не подойдет.

мне как раз подходит то что говорит Michael

только неполучаеца поставить галки где нужно пользователям домена-неактивны
как сделать их активными?

убрать наследование разрешений

:(( сделал. всё сделал как подсказали а оно неработает. сотрудники всёравно могут заходить в личную папку. я вапще непонимаю как оно всё работает(( может я такой тупой ну шоза блин(((((

Совершенно верно - любой пользователь может посмотреть все что угодно, кроме именных папок сотрудников отдела. Данные, которые не должен видеть никто - должны храниться в именных папках.
novitskiy, приведи скрин прав доступа на личную именную папку.

есть данные, которые должны видеть все сотрудники группы, но не все пользователи домена. У Вас же получается, что все пользователи могут видеть данные группы. Я не говорю что это не правильно. Все зависит от того, чего хочет novitskiy. :)
а еще лучше в окне Дополнительно.

2:Grub
я хочу чтобы только те кто в группе конструкторы могли создовать\изменять\удалять файлы в своей папке "конструкторский отдел". все остольные только просматривать, изменять ничего немогли. а для личной папки одного из конструкторов сделать доступ только ему, остальные немогли даже заходить

novitskiy, я так понимаю, что "вася" - это личная папка пользователя по имени Вася, в которую не должен иметь доступ кроме него, правильно? Если да, то на приведенной тобой вкладке сними галочку "Разрешить наследование" и поставь "Заменить разрешения". Когда снимешь галочку "Разрешить наследование" выбери "Удалить все наследуемые разрешения" и пропиши с полными правами доступа пользователей Вася и System. Можно также добавить себя, или админскую доменную группу, или группу бэкап-операторов (на случай решения проблем с файлами пользователей и/или бэкапа пользовательских данных)
P.S. В итоге на этой вкладке должны быть только Вася и System (ну и по желанию лично ты и/или админиская доменная группа и/или бэкап-операторы)

наконецто всё получилось. только пока я попробЫвал на тестовой папке\пользователе осталось на реальных сделать. тогда думаю можно говорить что получилось, но надеюсь что всё получица. спасибо большое всем. спасибо