[Michael]

Yohan777, а зачем убирать наследование? Вам нужно чтобы у Васи Пупкина были полные права на папку "Папка Васи Пупкина", а у всех остальных только чтение? Установите на UserShare Администратору полные, Domain Users - только чтение, наследование не трогайте, а на папку ФИО добавьте полные права владельцу.
И все, на конечной папке права сложатся следующим образом - Администратор - наследуются полные, Domain Users - наследуются только чтение, владелец-сотрудник - явно задаются полные. Учтите - если вы группе Domain Users зададите явный запрет, то у нижестоящей папки он явным разрешением не перекроется

[HellFire_MZ]

В продолжение темы, а если нужно чтобы пользователи домена могли не только читать файлы, но и копировать туда свои. Свои разумеется можно модифицировать, удалять. А вот владельца папки только читать.

[Yohan777]

Спасибо пробую...
Для HellFire_MZ - На вкладочке безопасность есть опция дополнительно, там разрешения более детально можно настраивать. ИМХО это тебе и нужно (там есть запись, и можно поставить запрет на удаление)

[HellFire_MZ]

Yohan777, было бы хорошо, если бы всё было так просто... Но мы уже достаточно много времени потратили) Хорошо бы по шагам.

[Michael]

HellFire_MZ, если вы хотите, чтобы все документы лежали в перемешку - и владельца папки и прочих, то никак. Проще сделать по другому, один из вариантов - создать папки отделов, в них - папки сотрудников. В папки отделов права у всех только на чтение, у сотрудников - полные, права на папку сотрудника - только для самого сотрудника (плюс везде учетка, из под которой будет вестись бэкап)

[HellFire_MZ]

Michael, Хорошая идея, спасибо, попробуем.

[Yohan777]

Извиняюсь за временное отсутствие...
Michael,
Насколько я понимаю это расписано на уровне безопасности общих ресурсов (т.е правай клавиша - общий доступ)??? Так частично получается, но мне не оч. нравится тот факт что в доступ получается надо давать не одну папочку а все по отдельности (UserShare и папочки пользователей). К тому же если зайти сразу на папку пользователя, то доступ на запись есть, а если сначала на UserShare затем в папку, то доступа нет- что логично. Или я что-то не так понимаю. Разъясните пожалуйста.

Поскольку дав общий доступ (правоя клавиша мыши-общий доступ) папочке UserShare пользователям домена на чтение, затем выставим вложенной папочке пользователя на вкладочке безопасности -разрешение на запись пользователю, итог - только чтение (отказано в доступе). Не понимаю почему???

Хотел настроить так: например даю в общий доступ папочку UserShare и подключаю ее скажем всем пользователям как сетевой диск. Зайдя на сетевой диск пользователь увидит список папок с названием соответс-х фамилий. Зайдя на свою он может и прочитать и записать, на все остальные только чтение. И так все пользователи. Т.е безопасноть на уровне NTFS (так в книге написано, читаю вот.) - правоя клавиша мыши -свойства-безопасность.

Как же все-таки правильно реализовать описанное выше (точнее как правильно раздавать и чем разрешения), задача вроде бы одна из самых простых. Уважаемые профи и модераторы, растолкуйте пожалуйста.

[Michael]

Цитата Yohan777:

это расписано на уровне безопасности общих ресурсов »

Нет - стандартная практика в назначении прав сетевого доступа такова, что на шару даются полные права всем, а вот необходимые разграничение делаются на уровне NTFS-прав.

Цитата Yohan777:

Хотел настроить так: например даю в общий доступ папочку UserShare и подключаю ее скажем всем пользователям как сетевой диск. Зайдя на сетевой диск пользователь увидит список папок с названием соответс-х фамилий. Зайдя на свою он может и прочитать и записать, на все остальные только чтение. И так все пользователи »

На вкладке доступ ставите пимпу в положение "Открыть общий доступ", здесь же, в разрешениях, группе "Все" разрешаете полный доступ. Затем на вкладке Безопасность выбираете Дополнительно. Сбрасывате наследование от родительского объекта, ставите заменить разрешения для всех дочерних объектов и выставляете разрешения следующим образом
Domain users - только чтение (вместо Domain users - любая группа или перечень групп, которым надо иметь право читать файлы и папки)
Группа или пользователь, от имени которых будет осуществляться бэкап - права на ваше усмотрение (можете только чтение, можете полные)
Группа или пользователь, которые должны иметь полные права или права только на чтение во всех папках - это могут быть руководитель компании/отдела, или вы (для осуществления оперативной помощи пользователям с их данными, а может вообще никого не будет). ОК.
После этого для каждой подпапки ФИО вы сбрасываете наследование прав, удаляете тех, кто видеть содержимое папок ФИО не должен (как минимум группу domain users) и даете полные права сотруднику-владельцу этой папки. Все

[Yohan777]

Спасибо Michael за разъяснение наверное основ - итог догнал основной принцип и вообще все получилось.
Остались маленькие нюансы-непонятки:

Цитата Michael:

На вкладке доступ ставите пимпу в положение "Открыть общий доступ", здесь же, в разрешениях, группе "Все" разрешаете полный доступ. Затем на вкладке Безопасность выбираете Дополнительно. Сбрасывате наследование от родительского объекта, ставите заменить разрешения для всех дочерних объектов и выставляете разрешения следующим образом Domain users - только чтение (вместо Domain users - любая группа или перечень групп, которым надо иметь право читать файлы и папки) Группа или пользователь, от имени которых будет осуществляться бэкап - права на ваше усмотрение (можете только чтение, можете полные) »

По этой части вопросов почти нет, только вот не совсем мне нравится группа ВСЕ. Получается что человек подрубившись к сети (прописав только настройки ipconfig), не подключаясь к домену, увидит этот ресурс по логике. Понятно что после настройки разрешения (удалив группу ВСЕ) дальше прав будет недостаточно чтобы зайти в папки. Можно ли сдесь использовать другие группы такие как пользователи домена? Кстати после сбрасывания галочки наследования - выскакивает сообщение, там лучше удалять, правильно? Не копировать?

Цитата Michael:

Группа или пользователь, которые должны иметь полные права или права только на чтение во всех папках - это могут быть руководитель компании/отдела, или вы (для осуществления оперативной помощи пользователям с их данными, а может вообще никого не будет). ОК. »

По этой части: Полные права должен иметь только Администратор домена, эта группа есть по умолчанию, эта же группа и бэкап делает. Чтение во всех папках - эту группу мы уже тоже выставили - пользователи домена.

Цитата Michael:

После этого для каждой подпапки ФИО вы сбрасываете наследование прав, удаляете тех, кто видеть содержимое папок ФИО не должен (как минимум группу domain users) и даете полные права сотруднику-владельцу этой папки. Все »

По этой части: странно что при создании первой папки пользователя она автоматически дается в общий доступ (появляется значек доступа), а все созданные после не даются автоматически - я решил первую созданную удалить и пересоздать новую. Затем при удалении наследования, если нажать удалить, то не остается ни одной группы ни пользователя (пусто). Я выбирал копировать - у меня получалось оставался в разрешениях группа пользователи домена на чтение, и пользователь администратор, а группа администраторвы исчезает. Впринципе меня такой подход устраивает, может только вместо пользователя администратор лучше поставить группу администраторы?. И вообще надо ли сдесь убирать наследование, почему? Затем даю полные права сотруднику чья папка (лучше ставлю на изменение), а вот почему надо

Цитата Michael:

удаляете тех, кто видеть содержимое папок ФИО не должен (как минимум группу domain users) »

Группа пользователи домена как раз и должна читать, именно читать не записывать?

Вопрос по квотированию в FSRM : Автоматически применять на существующих и новых вложенных папках - это действует на одну вложенность? Судя по всему да.
Еще раз спс.