Доступ на подпапки, как лучше? - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)

- - Доступ на подпапки, как лучше? (http://forum.oszone.net/showthread.php?t=298105)

Доступ на подпапки, как лучше?

Доброго времени суток!

Для доступа к папкам на сервере использую следующую схему: общий доступ (сетевой) Пользователи домена - Изменение.
Доступ NTFS - доменные группы "имя_папки_Read" на чтение и "имя_папки_Write" - на изменение.
Наследование разрывал с копированием разрешений, и группу "Пользователи" удалял.
Все устраивало.

Теперь, уже который раз, просят дать доступ на подпапку отдельным пользователям, причем они не входят ни в группу на Чтение, ни в группу на Изменение.
Как выходил из положения: создавал еще одну доменную группу, и давал ей право доступа NTFS "Чтение" на корневую папку с уровнем "Только для этой папки", затем уже на вложенной, целевой папке давал опять доступ этой группе.
Можно как-то сделать более удобно?
Если возникнет еще несколько таких папок, то на корневую будет прописано куча этих групп, чего не хотелось бы.
Как сделать более тонко? Поделитесь опытом, плиз.

Ну и второй вопрос, по специфике 2012 сервера.
Зашел в систему, на сервак с 2012 по доменным админом. Копирую с другого сервера расшаренную папку. В списках доступа после копирования есть локальная учетная записть "Администраторы". Тем не менее, при попытке зайти в нее - не пускает, мол нет прав, и сам сразу же предлагает эти права создать. В итоге в списках доступа появляется отдельно пропасанная учетка доменного админа. Это такая новая фишка 2012 сервера? То, что доменный админ - член локальной группы Администраторы ему мало, нужно чтобы было явно указано?

Как всегда, благодарен.

Цитата:

Цитата mcmurphy

Как выходил из положения: создавал еще одну доменную группу, и давал ей право доступа NTFS "Чтение" на корневую папку с уровнем "Только для этой папки", затем уже на вложенной, целевой папке давал опять доступ этой группе. »

Вы делаете лишнюю работу, вам незачем добавлять эту группу на корень и давать ей права на чтение. Вы можете добавить эту группу только к той папке, на которую нужно дать доступ, у вас получается, что на корень стоит "неявный запрет", а на целевой папке будет "явное разрешение" - тогда пользователь попавший в эту группу не будет иметь доступа к корню (т.к. там неявный запрет, он не входит в разрешающие группы), но будет иметь доступ к нужной папке, внутри корневой (т.к. на ней будет группа в которую он явно входит). А так, ход мыслей у вас верный, создавать группу в любом случае лучше, чем давать явные права на папки, конкретным пользователям.
Но есть один нюанс, пользователю нужно будет обращаться к конкретному пути, т.к. доступа к корню у него не будет (т.е. придется писать полный путь к папке). Но, если у вас стоит DFS - то ничего не мешает сделать ему линк на эту папку.

Доброго дня. Имею такую проблему:
Расшаренная папка на сервере Win2012R2. В ней есть папка "бухгалтерия", на которую все бухгалтеры имеют права чтения. Внутри нее есть личные папки отдельных бухгалтеров, каждый из них может записывать в свою и только читать из чужих. Для каждого бухгалтера я выставил правила на его личную папку такие:
-траверс папок
-содержание папки
-чтение атрибутов
-чтение дополнительных атрибутов
-создание файлов
-создание папок
-запись атрибутов
-запись дополнительных атрибутов
-удаление подпапок и файлов
-чтение разрешений
Проблема: Пользователь может спокойно создавать и удалять документы в своей папке, саму папку при этом он удалить не может. При попытке её удаления, получает сообщение, что диск защищен от записи и бла-бла-бла... Однако после этого все внутренности личной папки стираются. Как сделать так, чтобы при попытке стереть всю папку, пользователь не терял документы внутри нее, но при этом мог спокойно удалять документы в ней вручную?