Стоит стандартная задача: нужно сделать перенаправление папок профиля на шару, допустим, в \\srv\users.

Вопрос: как сделать это так, чтобы доступ к каждой папке пользователя имел только сам пользователь и администратор? Другие пользователи вообще не должны видеть папок своих сослуживцев или как минимум не должны иметь возможность в них заходить. Если поставить галочку монопольного использования в GPO, то администратор доступа иметь не будет. Если не поставить - доступ будут иметь все. На Samba я умею такую штуку организовывать, но как организовать это на win2k8r2? Естественно, папки для новых пользователей должны создаваться автоматически групповой политикой и автоматически же для них должны выставляться нужные права.

Для начала ознакомьтесь с материалами по ссылкам:
Access-based Enumeration (http://technet.microsoft.com/en-us/library/dd772681%28v=ws.10%29)
2008 - Скрыть расшареные ресурсы от тех, кто не имеет к ним доступа (http://forum.oszone.net/thread-143303.html)
2008 R2 - Настройка личных папок пользователей (http://forum.oszone.net/thread-236082.html)

минимум не должны иметь возможность в них заходить. »
они и так не имеют прав... если конечно у вас правильно настроены права на общую папку, где создаются папки пользователей:
Права на шару - Domain Users - Full access
Права NTFS:
снято наследование от родителя
Владелец-создатель - полный доступ на подпапки и файлы.
Авторизованные пользователи - чтение, создание папок - только на данную папку
System - полный доступ
Domain Admins - полный доступ

Если поставить галочку монопольного использования в GPO, то администратор доступа иметь не будет. Если не поставить - доступ будут иметь все. »
снять галочку: Grant user exclusive rights to ...
не будет доступа ни у кого кроме Создателя (т.е. соответствующего пользователя) и админов. Не будет у других пользователей т.к. нет NTFS прав на эту папку у них...

Про "не видеть" ссылки дали выше.

Спасибо огромное! Буду изучать!

А вот и не получилось. Выставил все права, как написано выше. Ок, пользователи могут создавать папки и не могут гулять по чужим.

Но проблема в том, что администратор может зайти в любую папку только локально. При этом сначала появляется запрос на предоставление постоянного доступа. Если же попробовать зайти по сетевому пути \\srv\users\test\, то даже администратору пишется, что недостаточно прав. Хотя для администраторов домена стоит полный доступ на папку, подпапки и файлы.

Где косяк?

Windows Explorer категорически не готов к технологии UAC, зато готов влёгкую запороть разрешения NTFS. Если вы для обычной работы используете учётную запись рядового пользователя, а с привилегиями Администратора заходите только по доказанной необходимости (собственно, только так и должно быть всегда и везде), то UAC можно отключить. И всё будет заходить как нужно.

А вот и не получилось. »
странно, у меня всё работает...

При этом сначала появляется запрос на предоставление постоянного доступа. »
снять галочку: Grant user exclusive rights to ... »
сняли?

Мда. Десять слоёв прав доступа, и всё равно нифига не работает. Реально надёжней и проще на самбе сделать. UAC отключать не хотелось бы, хоть под амином захожу только для административных операций.

Спасибо, теперь вроде разобрался во всём. В принципе, меня хотя бы локальный доступ с сервака к файлам для администратора вполне устраивает.

exo,
Да, конечно. Я вообще тестировал не на GPO, а тупым создание папок из-под пользователей и попыткой в них зайти админом. Походу действиетльно UAC виноват, в принципе, не очень оно и мешает.

Я вообще тестировал не на GPO, »
а где, кроме как в ни GPO есть Grant user exclusive rights to ???

exo,
Ну это просто исправить) Собственно, протестировал с GPO и перенаправленными папками профиля без монопольного доступа. Результат тот же, понятно дело, с чего бы ему быть другим? Чтобы зайти в папку пользователя нужно как минимум сначала ломануться туда локально, согласиться на предоставление постоянного доступа - и вот тогда уже можно будет заходить удалённо. Без предварительного локального захода даже админу не позволяет заходить.

Собственно, протестировал с GPO и перенаправленными папками профиля без монопольного доступа. Результат тот же »
новая GPO или меняли имеющеюся?

Без предварительного локального захода даже админу не позволяет заходить. »
у меня всё работает... »

Вах! M$ не перестаёт меня удивлять непродуманностью своих систем! Такая получается картина:

Папки перенаправляются на \\srv1\users. При этом:

1. С srv1 по локальному пути D:\Users\user1\ для админа запрашивает постоянный доступ, после этого заходит.
2. С этого же srv1 по сетевому пути \\srv1\Users\user1 не заходит, если не выполнить п.1
3. С srv2 по сетевому пути \\srv1\Users\user1 админом заходит всегда.

Ладно, в общем всем огромное спасибо, теперь проблема точно решена и я добился желаемого))

для админа запрашивает постоянный доступ, после этого заходит. »
не заходит, если не выполнить п.1 »
С srv2 ... админом заходит всегда. »
да, да, помню. проходил это дело.