У нас в сети есть файловый сервер, где хранится пользовательские "шары", около 20 пользователей. Сервер win2012, без DC.
Система такая: есть пользователи(локальные и на сервере созданы): vasya1, vasya2, vasya3. на диске D: имеются папки vasya1, vasya2, vasya3. там установлены права соответствующие.
Есть оператор один, который следит за правами на папок, меняет по необходимости. у него сейчас полномочия "администратора". Но оператор не квалифицированный сисадмин или техник, по этому хочется снизить роль до минимума, чтоб он мог только управлять правами папок и не смог менять настройки сервера.
Как можно такое реализовать ?

Как можно такое реализовать ?
Отобрать у оператора права администратора, сделать его владельцем общего ресурса и дать на ресурс полные права.

То есть убрать права администратора, из под другого администратора на диск D: добавить этого пользователя в качестве владельца и все ?
Он уже сможет всем права раздавать?

добавить этого пользователя в качестве владельца и все ?
Не всё.
сделать его владельцем общего ресурса и дать на ресурс полные права

Ок, а на диск можно сразу ставить такие права? а то надо будет на всех 20-и папок ручной мне зайти, и назначить там оператору такие права.

krec, папка-ресурс должна быть одна. А в ней уже ваши 20 подпапок. Назначив права и учитывая, что по умолчанию права наследуются сверху вниз, получите требуемое.

Angry Demon, ага, понял теперь :)
Мне надо в итоге получить такую иерархию:
папка "vasya1" - сам Vasya1(учетный запись) имеет там полный доступ, все остальные - только создание (чтоб могли туда/оттуда копировать файлы). нельзя, чтоб они редактировали или удалили файлы в чужих папках.

Как посоветовали бы реализовать это для 20-и пользователей ?

krec, вам надо получить такое дерево:

Диск сервера
|
Shares
|
Vasya
|
Petya
|
Klava
|
Dormidont
|
John
|
...
|
Mahmud

Мне надо в итоге получить такую иерархию:
папка "vasya1" - сам Vasya1(учетный запись) имеет там полный доступ, все остальные - только создание (чтоб могли туда/оттуда копировать файлы). нельзя, чтоб они редактировали или удалили файлы в чужих папках. »
Я бы все таки добавил.
Shares-->Operator (Полные права),Все остальные только чтение(исключая администратора)
Shares-Vasya-->Operator(Полные права),Vasya(изменение)
Shares-Petya-->Operator(Полные права),Petya(изменение)

В таком случае в Папке Shares никто Вам ничего лишнего не создаст.(ну кроме оператора)

А можно ли этому "operator"_у дать права перезагрузить сервер? только перезагрузка.
Бывает, что администратора нет на месте, а сервер надо перезагрузить, ну глюки или что то такое. чтоб RESET не нажимали, то этот "оператор" более менее знает что к чему и может перезагрузить как следует. Он уже это практикует, но как уже сказал, из под админа :)


Molchune, спасибо, идея хорошая, так и сделаю.
Shares-Petya-->Operator(Полные права),Petya(изменение) »
А отсюда "vasya" сможет скопировать файлы?

А можно ли этому "operator"_у дать права перезагрузить сервер? только перезагрузка
secpol.msc -> Локальные политики -> Назначения прав пользователя -> Завершение работы системы

А отсюда "vasya" сможет скопировать файлы?
Ну, раз есть права на чтение, то как вы думаете? ;)

Ну, раз есть права на чтение, то как вы думаете? »
а, да.. забыл, что все имеют права "только для чтения", унаследствуют из папки shares
Спасибо.

чтоб RESET не нажимали »
дикие люди
можно же нажать кнопку Power на корпусе, и система штатным образом завершит работу

И еще один нюанс. Этому оператору хотелось бы дать возможность создание/удаление учетных записей на сервере. сервер, напомню, w2k12 standard, без AD.
только вот думаю, можно ли делать тонкую настройку полномочия, чтоб мог только создать/блокировать уч. записи?
например, приняли на работу человека, надо создать для него аккаунт и добавить в шары. чтоб все он делал и не ждал меня, когда я создам учетную запись, а потом он их добавил.



Это из серии "мы не ищем легких путей" :)
дикие люди
можно же нажать кнопку Power на корпусе, и система штатным образом завершит работу »

И так, начал делать.
Создал всех пользователей на сервере
создал папку "INFO". расшарил и дал права такие: админам > полный доступ (еще добавил свою учетку навсякий) , а пользователям - только для чтения.
Из сервера создал внутри этой папки новую папку "АДМИН", на которую унаследовались права. как бы все нормально.
Захочу из своего компа в сеть, шару "ИНФО" , отткуда "АДМИН" и хочу там создать файл, но увы! не дает, говорит прав не хваатет.
А как так получается? на эту папку моя учетка унаследовала права "полный доступ", но почему не могу создать файл?
учетки из группы "пользователи" имеют права "чтение", нормально заходят. с ними проблем нет.
У меня учетка админа, удалил из член группы "пользователи", оставил только "администраторы"