Доброго времени суток.
Имеется два сервера, КД и Файловый (1С), на обоях стоит Win64 Server 2008 Std SP2.
На сервере КД создал папку например: Общий ресурс, дал общий доступ группам Все (чтение+запись), Администраторы (полный доступ), после в настройках безопасности отключил унаследование и добавил группы System(полный доступ) , Администраторы (полный доступ), Пользователи (чтение). Далее в ней создал папку Бухгалтерия, так же в настройках безопасности отключил унаследование и добавил группы System(полный доступ) , Администраторы (полный доступ), Бухгалтеры (чтение+изменения).


- Общий ресурс
-> Бухгалтерия
-> Папка 1
-> Папка 2
-> Файл 1
-> Файл 2

Задача:
1. Пользователь не должен создавать папки или файлы в общем ресурсе.
2. Пользователь не должен удалять или переименовывать папку бухгалтерия.
3. Пользователь в папке бухгалтерия может делать что хочет ;)

Проблема в том что пользователь может спокойно удалить папку Бухгалтерия :(

Пробовал в настройках безопасности папки Бухгалтерия для группы Бухгалтеры убрать галочку Удаление и поставить Удаление подпапок и файлов, в итоге фигня получилось.
Пользователь пытается удалить папку Бухгалтерия, выдает ошибку (нельзя удалить нет прав бла бла), но при этом содержимое её все удалил. О_о

Подскажите пожалуйста в чем проблема, сорри если нубский вопрос.

Попробуйте использовать DFS
В этом случае вы создаёте виртуальную структуру папок любой сложности, а для каждой реальной папки создаёте скрытый сетевой каталог и привяжите его к ветке DFS

TwoThrones, сделай на данную папку для группы "бухгалтерия" следующие права:
1. В поле "применять" выбери "только для подпапок и файлов" и дай "полный доступ"
2. В поле "применять" выбери "только для этой папки" и дай все права кроме "полный доступ", "удаление", "смена владельца", "смена разрешений"
Т.е. во вкладке "разрешения" у тебя для группы "бухгалтерия" будет две записи. Одна с правами на саму папку, вторая на все что в ней.

TwoThrones, сделай на данную папку для группы "бухгалтерия" следующие права:
1. В поле "применять" выбери "только для подпапок и файлов" и дай "полный доступ"
2. В поле "применять" выбери "только для этой папки" и дай все права кроме "полный доступ", "удаление", "смена владельца", "смена разрешений"
Т.е. во вкладке "разрешения" у тебя для группы "бухгалтерия" будет две записи. Одна с правами на саму папку, вторая на все что в ней. »

Попробовал, все равно получается так

Пользователь пытается удалить папку Бухгалтерия, выдает ошибку (нельзя удалить нет прав бла бла), но при этом содержимое её все удалил. »

TwoThrones, а icacls.exe "путь к папке" и whoami /groups от имени нужного пользователя что говорят?

На сервере КД
Microsoft Windows [Версия 6.0.6002]
(C) Корпорация Майкрософт, 2006. Все права защищены.

C:\Users\Администратор>icacls.exe "D:\Общий ресурс"
D:\Общий ресурс Все: (OI)(CI)(RX)
CORP\Администратор: (OI)(CI)(F)
BUILTIN\Администраторы: (OI)(CI)(F)
BUILTIN\Пользователи: (OI)(CI)(RX)

Успешно обработано 1 файлов; не удалось обработать 0 файлов

C:\Users\Администратор>icacls.exe "D:\Общий ресурс\Бухгалтерия"
D:\Общий ресурс\Бухгалтерия CORP\Администратор: (OI)(CI)(F)
BUILTIN\Администраторы: (OI)(CI)(F)
CORP\Бухгалтеры: (OI)(CI)(IO)(F)
CORP\Бухгалтеры: (RX,W,DC)

Успешно обработано 1 файлов; не удалось обработать 0 файлов

C:\Users\Администратор>
Microsoft Windows [Версия 6.0.6002]
(C) Корпорация Майкрософт, 2006. Все права защищены.

C:\Users\Test>whoami /groups

Сведения о группах
-----------------

Группа Тип SID
Атрибуты

=============================================== ======================= ========
===================================== ==========================================
===================
Все Хорошо известная группа S-1-1-0 Обязательная группа, Включены по умолчанию, Включенная группа
BUILTIN\Пользователи Псевдоним S-1-5-32-545 Обязательная группа, Включены по умолчанию, Включенная группа
BUILTIN\Доступ DCOM службы сертификации Псевдоним S-1-5-32-574 Обязательная группа, Включены по умолчанию, Включенная группа
BUILTIN\Пред-Windows 2000 доступ Псевдоним S-1-5-32-554 Группа, используемая только для запрета
NT AUTHORITY\REMOTE INTERACTIVE LOGON Хорошо известная группа S-1-5-14 Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\ИНТЕРАКТИВНЫЕ Хорошо известная группа S-1-5-4 Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Прошедшие проверку Хорошо известная группа S-1-5-11 Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Данная организация Хорошо известная группа S-1-5-15 Обязательная группа, Включены по умолчанию, Включенная группа
ЛОКАЛЬНЫЕ Хорошо известная группа S-1-2-0 Обязательная группа, Включены по умолчанию, Включенная группа
CORP\Бухгалтеры Группа S-1-5-21-1289929163-1328601172-188997710-1184 Обязательная группа, Включены по умолчанию, Включенная группа
Обязательная метка\Средний обязательный уровень Неизвестный тип SID S-1-16-8192 Обязательная группа, Включены по умолчанию, Включенная группа

C:\Users\Test>
На рабочей станции

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\Test>whoami /groups

[Group 1] = "CORP\"
[Group 2] = ""
[Group 3] = "BUILTIN\"
[Group 4] = "NT AUTHORITY\"
[Group 5] = "NT AUTHORITY\"
[Group 6] = ""
[Group 7] = "CORP\"

C:\Documents and Settings\Test>