Вопрос по ACL
 

Добрый день.
Возможно, тема более широкая чем Server 2008 R2, но так как домен пострен на нем, пишу сюда.

Дано: созданы новые пользователи (300 шт), они разбиты на глобальные группы безопасности по 30 пользователей/группа.
У каждой группы в общем ресурсе DFS (1) есть собственная папка группы (2), в которой созданы папки для каждого пользователя (3).
С помощью VB-скрипта при входе пользователя его личная папка подключается как сетевой диск. Должен подключаться.

Проблема: папка не подключается, потому что к ней нет доступа. Если идти по пути вручную, то нет доступа к папке группы. Значит, я накрутил с правами доступа. На практике, если добавить в (2) явно заданное правило разрешения чтения для "Прошедшие проверку" или более узкой "Пользователи нашего домена", папка открывается, сетевой диск подключается. Почему система не даёт доступа пользователю, который является членом группы-владельца этой папки?
ACL всех трех папок прилагаю.

Буду благодарен за подсказку.

ACL

• (1) Корневая общая папка, открытая на доступ

  
  Владелец - группа Domain Admins
  

  Цитата:

  По сети: "Все" - чтение, изменение, "Domain Admins" - полный доступ ACL - Нет наследуемых, все заданы явно в этой папке: Система (Для этой папки, подпапок и файлов) -- полный доступ Domain Admins (Для этой папки, подпапок и файлов) -- полный доступ СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ (Только для подпапок) -- полный доступ Прошедшие проверку (Только для этой папки) -- чтение

• (2) Общая папка группы

  
  Владелец - глобальная группа пользователей
  Сюда-то пользователей и не пускает, хотя членами группы-владельца они являются.
  

  Цитата:

  Система (унаследовано) -- полный доступ Domain Admins (унаследовано) -- полный доступ СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ (унаследовано) - полный доступ

• (3) Личные папки пользователей

  
  Владелец - пользователь
  

  Цитата:

  Система (унаследовано) -- полный доступ Domain Admins (унаследовано) -- полный доступ СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ (унаследовано) - полный доступ

до сих пор не могу понять, почему до сих пор используют скрипты для подключения дисков, когда есть GPO...
Сама GPO: При входе пользователя папка сама создастся.

Настройки прав NFTS:

для владельца - полный доступ.

Права на шару: пользователи домена - полный доступ, администраторы домена - полный доступ! убрать группу "все"

Скрипты -- потому что путь имеет вид \\domain\DFS\users\%groupname%\%username%. Этих групп довольно много.

К сожалению, этот сценарий не подходит.
А "все" я уберу, спасибо.

И всё же, почему не дает доступ в папку члену группы-владельца? Читаю про creator-owner, пока ничего похожего не нашел.

такого не встречал. а если руками создать папку-группы, и указать права, как я описал выше?
а кто папку то создавал? нету группы - "группа пользователей"

Прошу прощения за поздний ответ.
В общем, ситуация разрешилась следующим образом:
Для корневой папки (1) была изменена запись для "прошедшие проверку" - вместо "чтения" включен "траверс папок" на папку с подпапками без наследования. Это соответствует записи (CI)(NP)(X)
Папкой группы (2) владеет группа доменных администраторов.
Папкой пользователя (3) владеет сам пользователь.

Всё подключается, создается, всё хорошо.

Создавал администратор через PoSh-скрипт. Скриптом же изменялся владелец на группу пользователей.

Я имел ввиду глобальную группу безопасности.


В общем, спасибо за советы :) Все решено.