Разграничение доступа пользователей домена
 

Установлен server 2008 SP2 (дочерний домен- отношения к делу не имеет). Заведено в домен 40 клиентов - в группу пользователи домена. Задача: Дать каждому пользователю доступ на свою папку объемом 5 гиг на сервере, только чтобы каждый пользователь домена в свою папку мог записать, а другие только чтение. Мои действия: Создаю на томе "е" папочку скажем UserShare, даю доступ Администратор - полный по умолчанию, Пользователи домена - чтение чтобы пользователи могли зайти в папку UserShare. Убераю наследование разрешений. Затем в папке UserShare создаю 40 папок с фио клиентов. Убераю наследование разрешений, даю доступ Пользователям домена - чтение, а одному пользователю чья эта папка - запись. Ставлю галочку заменить все наследуемые разрешения. Итог - доступ только чтение. Опишите пашагово решение моей казалось бы на первый взгляд не сложной задачи.СПС.

Yohan777, а зачем убирать наследование? Вам нужно чтобы у Васи Пупкина были полные права на папку "Папка Васи Пупкина", а у всех остальных только чтение? Установите на UserShare Администратору полные, Domain Users - только чтение, наследование не трогайте, а на папку ФИО добавьте полные права владельцу.
И все, на конечной папке права сложатся следующим образом - Администратор - наследуются полные, Domain Users - наследуются только чтение, владелец-сотрудник - явно задаются полные. Учтите - если вы группе Domain Users зададите явный запрет, то у нижестоящей папки он явным разрешением не перекроется

В продолжение темы, а если нужно чтобы пользователи домена могли не только читать файлы, но и копировать туда свои. Свои разумеется можно модифицировать, удалять. А вот владельца папки только читать.

Спасибо пробую...
Для HellFire_MZ - На вкладочке безопасность есть опция дополнительно, там разрешения более детально можно настраивать. ИМХО это тебе и нужно (там есть запись, и можно поставить запрет на удаление)

Yohan777, было бы хорошо, если бы всё было так просто... Но мы уже достаточно много времени потратили) Хорошо бы по шагам.

HellFire_MZ, если вы хотите, чтобы все документы лежали в перемешку - и владельца папки и прочих, то никак. Проще сделать по другому, один из вариантов - создать папки отделов, в них - папки сотрудников. В папки отделов права у всех только на чтение, у сотрудников - полные, права на папку сотрудника - только для самого сотрудника (плюс везде учетка, из под которой будет вестись бэкап)

Michael, Хорошая идея, спасибо, попробуем.

Извиняюсь за временное отсутствие...
Michael,
Насколько я понимаю это расписано на уровне безопасности общих ресурсов (т.е правай клавиша - общий доступ)??? Так частично получается, но мне не оч. нравится тот факт что в доступ получается надо давать не одну папочку а все по отдельности (UserShare и папочки пользователей). К тому же если зайти сразу на папку пользователя, то доступ на запись есть, а если сначала на UserShare затем в папку, то доступа нет- что логично. Или я что-то не так понимаю. Разъясните пожалуйста.

Поскольку дав общий доступ (правоя клавиша мыши-общий доступ) папочке UserShare пользователям домена на чтение, затем выставим вложенной папочке пользователя на вкладочке безопасности -разрешение на запись пользователю, итог - только чтение (отказано в доступе). Не понимаю почему???

Хотел настроить так: например даю в общий доступ папочку UserShare и подключаю ее скажем всем пользователям как сетевой диск. Зайдя на сетевой диск пользователь увидит список папок с названием соответс-х фамилий. Зайдя на свою он может и прочитать и записать, на все остальные только чтение. И так все пользователи. Т.е безопасноть на уровне NTFS (так в книге написано, читаю вот.) - правоя клавиша мыши -свойства-безопасность.

Как же все-таки правильно реализовать описанное выше (точнее как правильно раздавать и чем разрешения), задача вроде бы одна из самых простых. Уважаемые профи и модераторы, растолкуйте пожалуйста.

Нет - стандартная практика в назначении прав сетевого доступа такова, что на шару даются полные права всем, а вот необходимые разграничение делаются на уровне NTFS-прав.
На вкладке доступ ставите пимпу в положение "Открыть общий доступ", здесь же, в разрешениях, группе "Все" разрешаете полный доступ. Затем на вкладке Безопасность выбираете Дополнительно. Сбрасывате наследование от родительского объекта, ставите заменить разрешения для всех дочерних объектов и выставляете разрешения следующим образом
Domain users - только чтение (вместо Domain users - любая группа или перечень групп, которым надо иметь право читать файлы и папки)
Группа или пользователь, от имени которых будет осуществляться бэкап - права на ваше усмотрение (можете только чтение, можете полные)
Группа или пользователь, которые должны иметь полные права или права только на чтение во всех папках - это могут быть руководитель компании/отдела, или вы (для осуществления оперативной помощи пользователям с их данными, а может вообще никого не будет). ОК.
После этого для каждой подпапки ФИО вы сбрасываете наследование прав, удаляете тех, кто видеть содержимое папок ФИО не должен (как минимум группу domain users) и даете полные права сотруднику-владельцу этой папки. Все

Спасибо Michael за разъяснение наверное основ - итог догнал основной принцип и вообще все получилось.
Остались маленькие нюансы-непонятки:
По этой части вопросов почти нет, только вот не совсем мне нравится группа ВСЕ. Получается что человек подрубившись к сети (прописав только настройки ipconfig), не подключаясь к домену, увидит этот ресурс по логике. Понятно что после настройки разрешения (удалив группу ВСЕ) дальше прав будет недостаточно чтобы зайти в папки. Можно ли сдесь использовать другие группы такие как пользователи домена? Кстати после сбрасывания галочки наследования - выскакивает сообщение, там лучше удалять, правильно? Не копировать?
По этой части: Полные права должен иметь только Администратор домена, эта группа есть по умолчанию, эта же группа и бэкап делает. Чтение во всех папках - эту группу мы уже тоже выставили - пользователи домена.
По этой части: странно что при создании первой папки пользователя она автоматически дается в общий доступ (появляется значек доступа), а все созданные после не даются автоматически - я решил первую созданную удалить и пересоздать новую. Затем при удалении наследования, если нажать удалить, то не остается ни одной группы ни пользователя (пусто). Я выбирал копировать - у меня получалось оставался в разрешениях группа пользователи домена на чтение, и пользователь администратор, а группа администраторвы исчезает. Впринципе меня такой подход устраивает, может только вместо пользователя администратор лучше поставить группу администраторы?. И вообще надо ли сдесь убирать наследование, почему? Затем даю полные права сотруднику чья папка (лучше ставлю на изменение), а вот почему надо Группа пользователи домена как раз и должна читать, именно читать не записывать?

Вопрос по квотированию в FSRM : Автоматически применять на существующих и новых вложенных папках - это действует на одну вложенность? Судя по всему да.
Еще раз спс.

Yohan777, и вас запутал и сам запутался :) (спутал вашу модель и модель HellFire_MZ)
Давайте попробуем заново.
Итак - у вас есть одна сетевая папка UserShare, а в ней папки пользователей. Все пользователи могут читать во всех папках. В своей папке пользователи могут творить все что угодно. Администраторы домена могут творить все что угодно во всех папках.
Тогда права будут следующие:
- папка UserShare.
-- вкладка доступ - открыть общий доступ к той папке. Разрешения - группа Domain Users полный доступ.
-- вкладка Безопасность. Удалить все имеющиеся разрешения/запреты (если удалить не удается, то идете на вкладку Дополнительно и снимаете наследование прав от родительского объекта). Группа Domain Users - только чтение, группа Domain Admins - полный доступ. Вкладка Дополнительно - поставить галочку "Заменить разрешения для всех дочерних объектов".
- папка Пупкин Василий Павлович
-- вкладка Безопасность. Добавить пользователя Пупкин Василий Павлович - полный доступ (действующие разрешения не трогать).
Все.

Здравствуйте! Проблема в след., на одной из папок ставлю разрешение пользователю на изменение, но права применяется только на чтение. Даю полный доступ, но проблема остается.
Удаляю полностью пользователя, все норм., она вообще не может зайти, переустановил учетку, не помогло. Может полностью удалить и снова создать учетку, но это почти равносильно переустановки учетки?
Правда, не в той ветке написана, у нас 2003

lohudra, пока что разговор ни о чём. Покажите каталог. Покажите существующие на нём разрешения. Покажите учётную запись. Покажите перечень групп, в которые прямо или опосредованно входит означенная учётная запись. Если речь про доступ к удалённому разделённому ресурсу — дополнительно покажите разрешения общего доступа.