Доступ и разрешения к папкам пользователей в Windows 2003 с поднятым AD
 

Ситуация такая : win srv 2oo3, поднят AD заведены пользователи.На серваке завели папку скажем "Users" и в ней завели для каждого пользователя папку.
Теперь требуется на каждую папку поставить разрешение.Так чтобы только хозяин папки мог удалять изменять, а остальные пользователи могли только копировать в его папку файлы и не смогли хозяйничать у него в папке. И так со всеми проделать.И запретить создание удаление и изменение папок,файлов ТОЛЬКО ВНУТРИ ПАПКИ "USERS"(для того чтобы не было лишнего мусора,а только папки пользователей)
Что сделал :
1) Создал группу куда скинул всех пользователей домена.Это я сделал для того чтобы в свойствах разрешения папки "Users" удалить всех и оставить группу.И поставил ЗАПРЕТ НА УДАЛЕНИЕ СОЗДАНИЕ ИЗМЕНЕНИЕ,а остальное разрешил.
2) В папке ПОЛЬЗОВАТЕЛЯ убрал галочку "Разрешить наследование от родительского объекта...." удалил все учётки,добавил группу и поставил запрет на удаление редактирование и изменение,далее добавляю хозяина папки и выдаю ему все права.Но проблема в том что ПРИОРИТЕТ У ЗАПРЕТА ВЫШЕ ЧЕМ У РАЗРЕШЕНИЯ, и поэтому у данного пользователся стоит запрет на данную папку кроме просмотра.
3) Копался в оснастках "Аудит (ставил там хозяина папки)","Владелец" - итог нулевой.Подозреваю что нужно опять таки где то галочку поставить типа дочернее родительское...
ВотЪ .
Читать читал тут что писали парни в форуме в конец запутался чесн слово

У меня пользователей штук 100.В ручную давать права сами представляете какая вешалка.Должен же быть какой-либо шаблон или что то в это роде

Не надо ничего запрещать, достаточно оставить галку "просмотр содержимого папки".

Я во всём разобрался кроме

Дайте нужные права для "Создатель-владелец". Для остальных "Запись". А лучше организовать общий ресурс для обмена, иначе запись в чужую папку может быть чревата заменой файлов с одинаковыми названиями, например.

Ага вот он тот самый шаблон как я его называл нашёлся таки =))
Спасиб тебе большое! На выходных попробую.
Теперь на основе этого всего требуется чтобы у администратора домена были права на всё.
У меня в данный момент всё обстоит так : удалил в безопасности всех пользователей и группы,добавил "пользователей домена",раздал им запреты на создание, редактирование и удаление внутри папки "Users",всё остальное разрешил.Потом Либо добавляю "Администраторы домена" либо Саму учётную запись администратора домена и даю ему полные права,но ситуация точно такаяже как я описал чуть выше

Может как то с группами повозиться ?

Администраторы и SYSYTEM там должны быть обязательно.

Добавил Администраторы и System дал им полные права,всё равно

Если у группы стоит запрет на действие с файлами, то указанный пользователь не должен присутствовать в этой группе

Это я понимаю,а если делать отдельно по каждому пользователю вы представляете какая вешалка.Юзеров штук 100и к этим 100 юзерам по одной папке и к каждой папке назначать кому можно а кому нет реально конечно но посудите должен же быть разумный выход

Если автоматом - то это перемещаемые профили. Опять же, Вас это вряд ли устроит.