Доброго времени суток всем.

После недавней установки и настройки файл-сервера в домене появились некоторые проблемы.

Описание схемы: Файл-сервер (server). на нем одна шара (share), на нее настроен ABE (Все-Полный доступ). В папке share попаки пользователей и папки отделов. Все в общем то нормально, пользователи видят только свои личные папки и то что им разрешено.

Вопрос теперь возник в следующем:
1. Пользователи в своих папках могут создавать, удалять..в общем все что угодно. Но случайно выяснил, что они могут и эту самую свою папку тоже удалить( Не смог разобраться как выставить права на изменение только внутри папки пользователя, чтобы саму ее они не могли грохнуть.
2. Возникла необходимость выдавать доступ пользователям на некоторые папки чужих отделов. Полностью на папку чужого отдела не проблема дать тдоступ, но это не очень желательно. А как можно сделать чтобы доступ у этих был только на определенные папки внутри папки чужого отдела?

Заранее большое спасибо =)

2. Возникла необходимость выдавать доступ пользователям на некоторые папки чужих отделов. Полностью на папку чужого отдела не проблема дать тдоступ, но это не очень желательно. А как можно сделать чтобы доступ у этих был только на определенные папки внутри папки чужого отдела? »
назначьте нужные права на папку, а пользователю дайте полную ссылку на папку.
Если в домене ничего не меняли, то по умолчанию доступ будет. я запамятовал как этот тип доступа называется...

Triarch, я делаю так:

1) на личную папку пользователя назначаю такие права

http://img13.imageshost.ru/img/2012/12/05/image_50bf43c673b30.png

Сделал скрин так, чтоб были видны только включенные галочки. Если не видно, значит, галка не установлена.

Если нужно автоматизировать, то поможет кусок из скрипта на PowerShell

$DirNameFull="\\server\share\$DirName"
if (!(Test-Path $DirNameFull))
{
Write-Host 'Папки' $DirNameFull 'нет, создадим ее и назначим права.'
New-Item -Path $DirNameFull -ItemType Directory
# icacls $DirNameFull /grant:r "$($env:USERDOMAIN)\Администраторы домена:F" /T /C
# F - full, RX - read & execute,
# OI - Object Inheritance (наследование объектами - файлы),
# CI - наследование контейнерами (папки)
# Права на чтение и запись для подпапок и файлов.
icacls $DirNameFull /grant:r "$($user):(OI)(CI)(IO)M" /T /C
# Права на чтение, запись и выполнение только для этой папки.
icacls $DirNameFull /grant:r "$($user):(GR,GE,GW)" /C
}

2) Чтоб зайти чужаку в папку другого отдела, пришлось наряду с группами безопасности Server-Share-RW, Server-Share-RO, Server-Share-FC (соответственно, для доступа к папке Share на сервере Server — чтение/запись, чтение, полный доступ) создать группу безопасности Server-Share-RI (для входа в папку). Права такие:

http://img13.imageshost.ru/img/2012/12/05/image_50bf4574e9204.png

То есть пользователи в группе Server-Share-RI могут лишь зайти в папку и прочитать разрешения. Соответственно, если внутри каталога \\server\share есть подкаталоги 01, 02, и так далее, — то на каждый подкаталог ставим нужный доступ группе Server-Share-01(02, 03 etc), и эту группу безопасности включаем в состав группы Server-Share-RI. После этого перелогиниваем пользователя, которому делали доступ, и проверяем под ним.

я запамятовал как этот тип доступа называется... »
нашёл (http://technet.microsoft.com/ru-ru/library/cc739389(v=ws.10).aspx) Обход перекрестной проверки\Bypass traverse checking
для 2008 и 2012 пути не изменились в GPO.

exo, спасибо за ссылку. Параметр групповой политики включается на файловом сервере?

Если в домене ничего не меняли, то по умолчанию доступ будет »
А как можно сделать без выдачи ссылок, а именно с возможностью "ползать" по дереву каталогов?

P. S. Проверил, нельзя.

А как можно сделать без выдачи ссылок »
ссылки можно или через ярлыки на рабочий стол, и сетевые диски монтировать.
а именно с возможностью "ползать" по дереву каталогов? »
а зачем?
Параметр групповой политики включается на файловом сервере? »
он по умолчанию включен. разница только в том, кому можно на ФС и КД.
К сожалению, такая фишка не проходит когда нужно дать доступ к одному файлу - слетают права. Решения не нашёл.

Snark сделал по вашему примеру со скринами, для папки пользователя, все равно пользователь удалять может свою папку(
Вот такие настройки сделал, соответсвенно в элементах разрешений первое и третье разрешение по вашей рекомендации настроено

Triarch, разрешения на корневую папку сотрудников какие стоят? Для группы безопасности "Пользователи домена" выставьте права на папку как на втором скрине, т. е. "Только для этой папки" разрешаем траверс, содержание, чтение атрибутов и разрешений.
В моем случае пользователь может удалить содержимое папки, но саму папку ни переименовать, ни удалить не может.

Цитата snark: а именно с возможностью "ползать" по дереву каталогов? »
а зачем? »
Много связей между отделами, много ссылок. Опасаюсь, что будет больше хаоса. В общем, надо экспериментировать, спасибо за информацию.

К сожалению, такая фишка не проходит когда нужно дать доступ к одному файлу - слетают права. Решения не нашёл. »
В подобном случае заставляю выкладывать этот файл в отдельный каталог, и на него уже назначаю права.

Много связей между отделами, много ссылок. Опасаюсь, что будет больше хаоса. »
а у меня другой взгляд: много папок - много групп...
В подобном случае заставляю выкладывать этот файл в отдельный каталог »
мы только так и сделали.

snark спасибо большое за советы, исправил разрешения на корень (share) и все получилось =)
а вот с доступом на определенные папки чужого отдела что то не могу разобраться все равно( или не совсем понял ваши объяснения

2. Возникла необходимость выдавать доступ пользователям на некоторые папки чужих отделов. Полностью на папку чужого отдела не проблема дать тдоступ, но это не очень желательно. А как можно сделать чтобы доступ у этих был только на определенные папки внутри папки чужого отдела? »
exo подкинул пищу для размышлений, "Обход перекрестной проверки" — то, что нужно. До этого (см. в постах выше) я "ехал в Париж через Мамадыш", все оказалось проще. Алгоритм действий:
1) На нужную папку (c:\Share\Buh\Otchet\2012 - к примеру) назначить нужные (RW, RO) права для определенной группы, к примеру, назовем эту группу Buh-Otchet-2012-RW.
2) Далее создаем ярлык для этой папки и помещаем его в корень шары (C:\Share)
3) Назначаем права для этого ярлыка: Администраторы и система — полный, группа Buh-Otchet-2012-RW — чтение/запись.
4) Так как обход перекрестной проверки включен по умолчанию, то более ничего делать не нужно. Просто заходим под пользователем, входящим в вышеуказанную группу, и проверяем ярлык.
5) Путь к ярлыку должен быть абсолютный, т. е. через букву сетевого диска, а не через диск С: самого сервера.

Еще раз спасибо exo.