[Anton04]

Цитата Angry Demon:

где указан лично он »

Первое, что бросается в глаза, отказаться от распределения по пользователя или встроенным группам. Создать специальный группы и раздавать только через них.
Скорее всего у тебя получается пересечения доступа пользователя и группы в которой он состоит (не состоит).

[Angry Demon]

Цитата Anton04:

отказаться от распределения по пользователя или встроенным группам

Группы и пользователи не встроенные, они в AD.

Цитата Anton04:

Скорее всего у тебя получается пересечения доступа пользователя и группы в которой он состоит (не состоит)

Повторяю, что всё прекрасно работает:

Цитата Angry Demon:

от Windows XP до Windows 8.1

Пример:
Пользователь в AD "Васисуалий" является членом группы AD "Терпилы". Группа "Терпилы" имеет полный доступ к папкам "Анализы" и "Котики". Кроме того, все пользователи AD имеют полный доступ к папке "Ругань с начальством".
Если наш Васисуалий работает на ОС от Windows XP до Windows 8.1, то он видит на серверной шаре следующие папки: "Ругань с начальством", "Анализы" и "Котики".
Если Васисуалию поставить Windows 10 Pro, то он увидит только "Ругань с начальством", доступную всем пользователям домена.
Приходится конкретно пользователю AD "Васисуалий" давать полный доступ к папкам "Анализы" и "Котики".
Так нагляднее?

[dmitryst]

Цитата Angry Demon:

Есть рабочие станции (не в домене) »

так они у вас в домене или вне домена?

[bredych]

Цитата Angry Demon:

Если Васисуалию поставить Windows 10 Pro, то он увидит только "Ругань с начальством", доступную всем пользователям домена. Приходится конкретно пользователю AD "Васисуалий" давать полный доступ к папкам "Анализы" и "Котики". »

а группа юзеров в АД и группа в workgroup-e - это одна и та же группа?
У меня ощущение, что копать надо в этом направлении..
Там, если как-то можно прописать группу по сиду или чему там - то сделать это, а не просто одно название..
Ну и вообще, есть сомнения, что юзер вне домена сможет получить доступ к шарам, ограниченным только для некоторых групп участников домена.. .

[dmitryst]

Цитата bredych:

а группа юзеров в АД и группа в workgroup-e - это одна и та же группа? »

помнится, группы с одинаковыми названиями имеют разный SecurityID (это которые такого вида -S-1-5-21-1004336348-1177238915-682003330-512). В свое время намучался с доменом и пользователями вне домена, в итоге убрал домен вообще.

[bredych]

да, я это и имел в виду, говоря про сиды.

[Angry Demon]

Цитата dmitryst:

так они у вас в домене или вне домена?

Рабочие станции, о которых идёт речь, вне домена в рабочей группе.

Цитата bredych:

а группа юзеров в АД и группа в workgroup-e - это одна и та же группа?

Да, конечно. Напоминаю, что всё работает, если станции:

Цитата Angry Demon:

от Windows XP до Windows 8.1

Цитата bredych:

есть сомнения, что юзер вне домена сможет получить доступ к шарам

Может, проверено, см. выше.

[Angry Demon]

Итак, рассказываю, чем закончилась эпопея.
Оказалось, что пользователь станции с Windows 10 не получает доступа в папку сервера-КД, если находится на сервере-КД в группе типа "Локальная". Если тип группы "Глобальная" или "универсальная", то всё в ажуре.
Не ждал такой подножки от M$.