Столкнулся с трудностью настройки доступа при обычном сетевом доступе для определенных файлов и папок.
Есть сетевые ресурсы и если у директории есть сетевой доступ у администратора - то в папки также пускает и всех пользователей.

Если запретить доступ группе, но разрешить конкретному пользователю (он входит эту группу), то правила запрета имеют привилегию над разрешением.
Возникает вопрос - как разрешить доступ к папке конкретному пользователю, запретив при этом остальным участникам группы пользователей в которую он входит.
Или просто запретить доступ по умолчанию для всех, кроме тех кто внесён в список разрешенных? где вообще можно по этой теме что-то детальней почитать :)

Если запретить доступ группе, »
Зачем вообще «запрещать»?

Зачем вообще «запрещать»? »
в противном случае - их туда почему-то пускает.
сейчас начал предполагать, что это на тестовых пользователях у которых был доступ - хотел уточнить, когда применяются права, и можно ли как-то ускорить на клиенте или сервере этот процесс.


В целом есть три группы - менеджеры, сотрудники офиса, администрация.
Есть папки с отчётами.

Каждому менеджеру должно быть разрешено менять содержимое своей папки (пока не сдаст проект - потом только смотреть), сотрудникам офиса - смотреть всё, администрации - вносить правки при необходимости.

вот как-то с менеджерами возникают трудности.

в противном случае - их туда почему-то пускает. »
Значит стоит разрешение на группу "все". А в группу "все" входят... внезапно все.
Либо разрешен гостевой доступ. Не помню где он отключается, но можно просто выключить учетную запись "гость" (win+r - lusrmgr.msc - пользователи - пкм на "гость" - отключить учетную запись).

Ну или еще как вариант - учетная запись на сервере и клиенте совпадает. Т.е. и на сервере и на компьютере с которого заходят в папку учетка admin\admin к примеру, т.е. совпадающие логин и пароль.

в противном случае - их туда почему-то пускает. »
«Почему-то» — не бывает. Всегда есть причины (например, см. выше сообщение коллеги Charg).

«Почему-то» — не бывает. Всегда есть причины »

После того как забрал у пользователя доступ - он ещё мог менять файлы (где-то час точно, на больше эксперимента не хватило)... после перезагрузки клиента доступ и правда пропал (на клиенте при этом никаких настроек не выполнялось), но в целом - эффект достигнут.
Данный процесс смог воспроизвести с несколькими клиентами (всеми тремя тестируемыми :) ).

undertalk, покажите пожалуйста скриншот вкладки "Безопасность" для конечной папки к которой предоставляется/не предоставляется доступ.

Также предлагаю следующий вариант организации предоставления доступа:

начиная с корневой директории диска на котором находятся файлы/папки к которым предоставляется общий доступ создаете и предоставляете соответствующие права двум группам пользователей, а именно - 1. это read only 2. read and write. В зависимо от желания и потребности применяете такие же действия к каждой папке и подпапки (если в этом есть необходимость).

Главный нюанс который нужно учесть - группа доступа например для "уровня 3" (независимо от того это read only or read and write) должна входить в группу read only "уровня 2", которая соответственно входит уже в группу read only "уровня 1". Таким образом предоставляется доступ к просмотру элементов папок по всему пути (такой себе список элементов) и в конечном результате нужный доступ к конечной папке. В противному случае - пользователь будет иметь права доступа на конечную папку, но не сможет пройти полный последовательный путь к папке/файлу.

В конечном результате для предоставления доступа - добавляете пользователя в нужную групу.