Пользователь не получает доступа к папке сервера, хотя в группе доступа он есть
 

Доброго всем дня.
Коллеги, интересная проблема.
Есть Server 2008 (КД, файлопомойка), на нём пользователи, объединённые в группы для более удобного управления доступом.
Есть рабочие станции (не в домене) от Windows XP до Windows 8.1, пользователи на них соответствуют пользователям сервера.
Пользователи прекрасно видят файлопомойку, имеют доступ туда, куда лично им или группе вход разрешён и, соответственно, не видят то, куда запрещён.
Есть рабочая станция на Windows 10 Pro с теми же вводными, но её пользователь имеет доступ только в те папки, где указан лично он на закладке "Безопасность" или группа "Users" домена, если указана его группа, то фигушки.
Извечный вопрос: кто виноват и что делать? (С)

Первое, что бросается в глаза, отказаться от распределения по пользователя или встроенным группам. Создать специальный группы и раздавать только через них.
Скорее всего у тебя получается пересечения доступа пользователя и группы в которой он состоит (не состоит).

Группы и пользователи не встроенные, они в AD.

Повторяю, что всё прекрасно работает:
Пример:
Пользователь в AD "Васисуалий" является членом группы AD "Терпилы". Группа "Терпилы" имеет полный доступ к папкам "Анализы" и "Котики". Кроме того, все пользователи AD имеют полный доступ к папке "Ругань с начальством".
Если наш Васисуалий работает на ОС от Windows XP до Windows 8.1, то он видит на серверной шаре следующие папки: "Ругань с начальством", "Анализы" и "Котики".
Если Васисуалию поставить Windows 10 Pro, то он увидит только "Ругань с начальством", доступную всем пользователям домена.
Приходится конкретно пользователю AD "Васисуалий" давать полный доступ к папкам "Анализы" и "Котики".
Так нагляднее?

так они у вас в домене или вне домена?

а группа юзеров в АД и группа в workgroup-e - это одна и та же группа?
У меня ощущение, что копать надо в этом направлении..
Там, если как-то можно прописать группу по сиду или чему там - то сделать это, а не просто одно название..
Ну и вообще, есть сомнения, что юзер вне домена сможет получить доступ к шарам, ограниченным только для некоторых групп участников домена.. .

помнится, группы с одинаковыми названиями имеют разный SecurityID (это которые такого вида -S-1-5-21-1004336348-1177238915-682003330-512). В свое время намучался с доменом и пользователями вне домена, в итоге убрал домен вообще.

да, я это и имел в виду, говоря про сиды.

Рабочие станции, о которых идёт речь, вне домена в рабочей группе.

Да, конечно. Напоминаю, что всё работает, если станции:
Может, проверено, см. выше.

Итак, рассказываю, чем закончилась эпопея.
Оказалось, что пользователь станции с Windows 10 не получает доступа в папку сервера-КД, если находится на сервере-КД в группе типа "Локальная". Если тип группы "Глобальная" или "универсальная", то всё в ажуре.
Не ждал такой подножки от M$.