При открытии общего доступа к папкам не учитываются права установленные в Безопасност
 

Есть сервер с подключенным к нему LUNом от SAN, предположим, его имя Storage
Пример дерева папок:
Root (Доступ на чтение всем)
-Private (Доступ на чтение всем)
--Dep1 (Доступ только Dep1)
--Dep2 (Доступ только Dep2)
-Public (Доступ на чтение всем)
--Dep1 (Доступ на чтение всем, полный - только Dep1)
--Dep2 (Доступ на чтение всем, полный - только Dep2)

Необходимо, чтобы в списке шар была только корневая папка. Соответственно, открываем к ней общий досуп с правами на чтение группы "Domain Users", "Безопасность" не трогаем.
Теперь берем папку \Public\Dep1 , в безопасности добавляем группу Dep1 и выставляем флаг полного доступа.
Итог - к данной папке по пути \\Storage\Root\Public\Dep1 доступ имеют все только на чтение, и группа Dep1 в том числе.
Со всеми остальными каталогами аналогичная ситуация.

Не работает и при расположении папки на локальном диске, и при расположении на SAN.
Не работает на серверах 2003/2008R2
Локально на Win7x64 такой подход к организации доступа работает.

Пробовал сбрасывать полностью права с помощю CACLS, перемещать файлы на другой том NTFS.

Пожалуйста, подскажите, в чем моя проблема?

1)
Вы управляете правами NTFS или правами на сетевой ресурс?
То, что вы описали возможно сделать только правами NTFS.

2)
Скриншоты для данного действа приведите.
Лучше приводить "до" и "после"

Правами NTFS.

Сейчас сделаю.

5 - попытка создать папку.

WooDFox, вы на вашу шару root (или как она там у вас называется) дайте доступ не только на чтение (рис1), но и на изменение (Права доступа на шару действуют так: более " перекрывают" более "мягкие" - если NTFS-правами на папку вы выставили изменение, а share-правами только чтение, то итоговый доступ будет "чтение", и наоборот).

То есть, я правильно понимаю, что фактически, что бы разграничить доступ мне надо на каждом ограничиваемом каталоге выставлять NTFS-права для каждого отдела?
Вот так:

Root (Share:Чтение и изменение) (NTFS:Только чтение всем)
-Private (NTFS:Только чтение всем)
--Dep1 (NTFS:Полный доступ Dep1;Запретить всё Dep2;Запретить всё Dep3)
--Dep2 (NTFS:Полный доступ Dep2;Запретить всё Dep1;Запретить всё Dep3)
-Public (NTFS:Только чтение всем)
--Dep1 (NTFS:Полный доступ Dep1;Только чтение Dep2;Только чтение Dep3)
--Dep2 (NTFS:Полный доступ Dep2;Только чтение Dep1;Только чтение Dep3)

Мне кажется, что это неправильно...
И, повторюсь, на Вин7 схема, описанная в начале темы, работает правильно.

Если вы запрещаете только для того, чтобы, например Dep2 не могли ничего писать в папку Dep1, то запрет делать не обязательно- т.к. если пользуну или группе нет явного разрешения на запись, то он в папку ничего и не запишет. А так в общем правильно.
- значить 7 дает разрешение "запись" на шару :) .

Неправильно, так как в вашем случае можно избежать явных запретов
Предлагаю так:
Root (Share:Чтение и изменение) (NTFS:Только чтение всем и только для этой папки)
-Private (NTFS:Только чтение всем и только для этой папки)
--Dep1 (NTFS:Полный доступ Dep1)
--Dep2 (NTFS:Полный доступ Dep2)
-Public (NTFS:Только чтение всем)
--Dep1 (NTFS:Полный доступ Dep1;Только чтение Dep2;Только чтение Dep3)
--Dep2 (NTFS:Полный доступ Dep2;Только чтение Dep1;Только чтение Dep3)

Спасибо, проблема решена.
На правильную мысль меня натолкнул ответ в ТехНэте. На всякий случай, вставляю сюда - вдруг кому пригодится:


Проблема в том, что Вы неправильно поняли как совместно работают разрешения SMB (доступ по сети) и NTFS. Будет действовать наиболее жёсткое разрешение.

При доступе к общей сетевой папке SMB разрешения выступают как фильтр, который пропускает максимум только тот тип доступа который Вы определили для общей папки. В вашем случае Domain Users имеют максимум Read при доступе по сети к любой из папок. Разрешения NTFS можно только ужесточить.

Дайте вашим пользователям SMB разрешение Change или Full Control. Всё лишнее можно "порезать" разрешениями NTFS.

Administering Shared Folders http://www.microsoft.com/mspress/boo...hap/5509a.aspx (When you combine shared folder permissions and NTFS permissions, the more restrictive permission is always the overriding permission)

Managing Permissions for Shared Folders http://technet.microsoft.com/en-us/l.../cc753731.aspx

PS. Обычно используют для таких целей Authenticated Users, а не Domain Users.

по разрешениям NTFS - нужно давать пользователям право Modify, а не полный доступ - ибо им ни к чему право на смену владельца.
А еще лучше дать право Modify, группе Creator-Owner, а остальным право чтение и выполнение, либо тоже Modify но с убраными галками низкоуровневых разрешений - удаление и удаление файлов и подпапок.
Таким образом достигается разграничение прав внутри групп Dep1, зачем другому пользователю право на удаление файла который не он создавал? Т.е. люди смогут создавать, редактировать, просматривать документы. А владельцы еще и удалять свои файлы.