помогите разобраться с правами пользователей домена
 

поставили задачу разграничить доступ к общим папкам, то есть к папке А должны иметь доступ пользователи 1 и 2, к папке Б пользователи 2 и 3 и т.д. с разными правами (чтение/полный доступ). сеть простая, компов немного, все на свичах, сервера небыло. из гугла понял что силами ХР это сделать геморойно, решил поставить Win 2003 Srv, поднять домен, раньше такм не занимался, идея была такая - создается пользователь домена, на машине пользователя нужная папка расшаривается для конкретного пользователя домена с конкретными правами, в локальных политиках компа задается доступ к ПК из сети: %username/domain% и все в шоколаде. на практике нифига не прокатило, общая папка создавалась на контроллере домена, по плану ничего не работало, путем просто добавления прав в какой-то момент папка становится доступна сразу всем с полными правами, в итоге только запутался. посоветуйте пожалуйста чо-где надо включать чтобы работало првильно. и еще, можно-ли пользователю домена дать право расшаривать свои папки для конкретных юзеров или все только через админа (сейчас у юзера нету в св-вах закладки доступ). поиск юзал - не помогло:( надеюсь не очень запутано объяснил проблему

Можно. Во вкладке "безопасность" нужной папки дать ему полные права. Только потом проблем не оберетесь.
И не будет, пока он не администратор.
Изучайте наследование прав безопасности от родительских объектов.

особо сложного ничего тут нет :)
чтобы было четко понятно, что от куда растет, делаем примерно так
1. Создаем группу(ы) безопасности "Группа А", "Группа Б", "Группа В"...
2. Распихиваем пользователей по группам, например "Сотр1" и "Сотр2" -> "Группа А", "Сотр3" и "Сотр4" -> "Группа Б",

3. Создаем группу(ы) безопасности "Шара 1_RO", "Шара 2_RO", "Шара 3_RO"..."Шара 1_RW", "Шара 2_RW", "Шара 3_RW"...
4. Распихиваем пользователей и (или) ГруппыАБВ по нужным Шарам123

5. Создаем папку, например, Шара 1, и ее шарим... в закладке "Доступ" "Разрешения" добавляем группы из п.3. "Шара 1_RO" и "Шара 1_RW"...выставляем соответствующие галочки...
6. в закладке "Безопасность" добавляем те-же группы из п.3. "Шара 1_RO" и "Шара 1_RW" выставляем те-же галочки, и все это дело подтверждаем...
кто в группе RO будут только читать, кто в группе RW - полный доступ...если пользователь не состоит в группах "Шара 1_RO" и "Шара 1_RW" он в эту шару и не попадет...

повтояем пп.5-6 для "Шара 2_RO", "Шара 2_RW"... "Шара 3_RO", "Шара 3_RW"...

чтобы это организовать, нужно чтобы конкретный Пользователь Домена имел статус Локального Администратора
эт делается через групповые политики...

продолжать?

был бы признателен

И мне интересно. Чувствую скоро и у меня будет таже задача и необходимость. В ноябре грядет проверка по информационной безопасности!

че то быстренько переехали

вот

я как-то так и собирался делать и в итоге фиг. сегодня сделал в точности с инструкцией и по-прежнему доступа к папке нет. в политиках безопастности (контроллера) домена прописывается доступ к компьютеру из сети для Группа А, Юзер 1, Шара 1, Пользователи домена, Пользователи, Комп 1 (на компе 1 работает Юзер 1, который входит во все перечисленные группы) и все равно "недостаточно прав для доступа к каталогу" может есть еще какие подводные камни?

погляди логи на предмет отказа, как со стороны клиента так и сервера...может у тя комп из домена выпал...

я со всем этим сталкиваюсь первый раз, учусь методом научного тыка, т.к. в умных книжках слишком умно написано, где и какие логи смотреть я не представляю, равно как и что в них искать. сейчас я переустановил заново роль КД и DNS, создал пользователя домена (А), зашел пользователем А, добавил пользователя А в группу "отдел А", на КД создал расшареную папку для: "все", "пользователи домена", А, "отдел А", "компьютерА$" и разрешил в плитике безопасности домена и плитике безопасности контроллера домена доступ к компьютеру из сети для всех перечисленных вариантов помимо вариантов по умолчанию, даже перезагрузил сервер после всего перечисленного и в итоге - лыч. я уже не знаю как можно дать больше прав на доступ. или я вообще не в ту сторону иду?

скачай и почитай там все расписано подробно "Шетка Петр Microsoft Windows Server 2003 Практическое руководство по настройке сети"

в итоге суть проблема оказалась в естественной кривизне рук и собственной лени. для упрощения процесса расшареная папка создавалась на рабочем столе, который, по всей видимости, относится к приватным папкам и доступ к нему по сети получить сложнее. в другом месте все оказалось проще, но если сделать доступ пользователю, под которым машина регистрировалась в домене, то папка становится доступна и локальному пользователю, может при регистрации в домене надо вводить логин Одмина...
но по итогу, после изучения по диагонали книги посоветованной достопочтенным djonbox, было принято решение отказаться от домена, и необходимые задачи решились в рабочей группе, всем спасибо за участие, тему можно закрывать