[DmitriiV]

Для начала ознакомьтесь с материалами по ссылкам:
Access-based Enumeration
2008 - Скрыть расшареные ресурсы от тех, кто не имеет к ним доступа
2008 R2 - Настройка личных папок пользователей

[exo]

Цитата malamut:

минимум не должны иметь возможность в них заходить. »

они и так не имеют прав... если конечно у вас правильно настроены права на общую папку, где создаются папки пользователей:
Права на шару - Domain Users - Full access
Права NTFS:
снято наследование от родителя
Владелец-создатель - полный доступ на подпапки и файлы.
Авторизованные пользователи - чтение, создание папок - только на данную папку
System - полный доступ
Domain Admins - полный доступ

Цитата malamut:

Если поставить галочку монопольного использования в GPO, то администратор доступа иметь не будет. Если не поставить - доступ будут иметь все. »

снять галочку: Grant user exclusive rights to ...
не будет доступа ни у кого кроме Создателя (т.е. соответствующего пользователя) и админов. Не будет у других пользователей т.к. нет NTFS прав на эту папку у них...

Про "не видеть" ссылки дали выше.

[malamut]

Спасибо огромное! Буду изучать!

[malamut]

А вот и не получилось. Выставил все права, как написано выше. Ок, пользователи могут создавать папки и не могут гулять по чужим.

Но проблема в том, что администратор может зайти в любую папку только локально. При этом сначала появляется запрос на предоставление постоянного доступа. Если же попробовать зайти по сетевому пути \\srv\users\test\, то даже администратору пишется, что недостаточно прав. Хотя для администраторов домена стоит полный доступ на папку, подпапки и файлы.

Где косяк?

[WindowsNT]

Windows Explorer категорически не готов к технологии UAC, зато готов влёгкую запороть разрешения NTFS. Если вы для обычной работы используете учётную запись рядового пользователя, а с привилегиями Администратора заходите только по доказанной необходимости (собственно, только так и должно быть всегда и везде), то UAC можно отключить. И всё будет заходить как нужно.

[exo]

Цитата malamut:

А вот и не получилось. »

странно, у меня всё работает...

Цитата malamut:

При этом сначала появляется запрос на предоставление постоянного доступа. »

Цитата exo:

снять галочку: Grant user exclusive rights to ... »

сняли?

[malamut]

Мда. Десять слоёв прав доступа, и всё равно нифига не работает. Реально надёжней и проще на самбе сделать. UAC отключать не хотелось бы, хоть под амином захожу только для административных операций.

Спасибо, теперь вроде разобрался во всём. В принципе, меня хотя бы локальный доступ с сервака к файлам для администратора вполне устраивает.

exo,
Да, конечно. Я вообще тестировал не на GPO, а тупым создание папок из-под пользователей и попыткой в них зайти админом. Походу действиетльно UAC виноват, в принципе, не очень оно и мешает.

[exo]

Цитата malamut:

Я вообще тестировал не на GPO, »

а где, кроме как в ни GPO есть Grant user exclusive rights to ???

[malamut]

exo,
Ну это просто исправить) Собственно, протестировал с GPO и перенаправленными папками профиля без монопольного доступа. Результат тот же, понятно дело, с чего бы ему быть другим? Чтобы зайти в папку пользователя нужно как минимум сначала ломануться туда локально, согласиться на предоставление постоянного доступа - и вот тогда уже можно будет заходить удалённо. Без предварительного локального захода даже админу не позволяет заходить.