ладно, с предыдущими вопросами закончил.
произвожу сейчас настройку "общих папок" на сервере в сети без доменов. Есть папка "Comdir", к которой надо дать доступ начальникам подразделений и закрыть доступ всем остальным. Есть подразделение "Автоматизация", внего входят 3 человека, включая Начальника. Создал группу пользователей "avtom", включил туда всех троих. Так же можно создать группу "nach_pod" куда включу начальников подразделений и ей дам доступ к папке comdir. Если заходить просто через сетевое окружение - всё сработает - попадут в неё только участники группы "nach_pod". Но у меня есть терминальный сервер... настроен на автоматический вход сразу в 1с при подключении. И там, при "сохранении как..." можно спокойно зайти в папку "Comdir", даже если ты не член группы "nach_pod". Дальше понял, что нужно в настройке "Безопасность" папки "Comdir" запретить доступ всем, кроме пользователей группы "nach_pod". То есть в правилах безопасности появятся 2 записи: Разрешить доступ "nach_pod"
Запретить доступ "avtom"
Так как Запрещающие правила сильнее, доступ Начальнику Автоматизации туда будет закрыт... Что делать? добавлять запрещающие правила для каждого пользователя индивидуально - не то.

Sergey Orlov,

понимаете, вот есть у меня группа пользователей из отдела автоматизации, для них создана общая папка "avtomat". как сделать так, что б кроме них никто больше не имел доступа в эту папку. Только надо учесть, что абсолютно ВСЕ пользователи на моем сервере принадлежат группе "Пользователи" (ну кроме Админов). как будут выглядеть Запрещения для такой папки?

Khod,

заходя через терминальное подключение - в эту папку можно попасть под любым пользователем, если явно не перекрыть ему кислород

Sergey Orlov,

спасибо. То что Вы написали - я и сам понял) Проблемма в другом, счас попробую описать поподробнее:
1. есть две папки "test1" и "test2"
2. есть две группы пользователей "sotrudniki" и "nachalniki"
3. есть два пользователя "rab" и "moigeneral"
4. оба пользователя принадлежат группе "sotrudniki"
5. "moigeneral" входит в группу "nachalniki"
6. в папку "test1" должны входить оба
7. в папку "test2" должен входить только "moigeneral", доступ "rab"-у должен быть Запрещен
Как оперируя правами доступа только для Групп осуществить сие?)
p.s. если бы можно было сделать как то список правил, выполняющихся по порядку:
1 правило: запретить доступ всем
2 правило: разрешить доступ группе "nachalniki"
...

Anatoly Podgoretsky,

)) ну дак не смотрите. я такой же как и тысячи начинающих. плевать мне на ваши насмешки

Anatoly Podgoretsky,

)
я же написал, про ограничения прав ntfs и ограничение доступа по сети я в курсе. но так, как мне посоветовали с ними обойтись - меня "не устраивает" (если конечно нет альтернативы на win2003, то хрен с ним, отсату) - есть пользователи, состоящие в разных группах, а запреты надо давать только одной из них. Ладно у меня всего 20 пользователей - я могу каждому по отдельности запретить посещать те или иные папки. а когда их 1000 - как мне тогда быть?
я что, не доступно описал проблемму? есть пользователь "Начальник отд. автомат-ии", он состоит в 2-х группах: "avtom" и "nachalniki". Доступ к папке "avtomat" даю группе "avtom", а к папке "comdir" должен дать доступ только группе "nachalniki", запретив при этом доступ группе "avtom". Разве можно сделать это, следуя совету Sergey Orlov ?? Надо дать доступ только определенным пользователям на чтение, изменение, создание файлов и подкаталогов
Создаем универсальную группу Avtomat, включаем в нее тех пользователей кому нужен доступ, Создаем каталог Avtomat, в свойства каталога на закладку Security, затем жмем кнопочку Advanced(расширенные) и там снимаем галку наследовать с родителя, жмем копировать, возвращаемся снова на Security, удаляем группу Пользователи, добавляем группу Avtomat, в доступе этой группе ставим все галочки кроме Full control, снова в Advanced и ставил галочку применить все назначения дочерним обьектам. После этого джоступ в эту папку будет доступен, только админам, системе и пользователям входящим в группу avtomat. Если туда нужен доступ только на чтение, то создаем новую группу и ей даем доступ чтение, запуск ну и т.д., модификацию и запись не даем...
Закладочка sharing определит доступ к этому каталогу из сети.
?

Anatoly PodgoretskyНу что ты такой тупой, сказали же запретов не надо.
точно, ступил. всё получилось. спасибо за помощь Sergey Orlov .

ещё одна ситуация. пользователи, которые состоят в группе "1сusers", удаленно подключаются к серверу и работают в терминальном режиме. в 1с-ке через "сохранить как" опять же попадаешь на сам сервак и перед тобой открываются все диски. одно дело, что доступа на удаление папок\файлов у них нет. а вот скопировать папку с БД могут... скопировать и вставить в расшаренную папку. что можно в этой ситуации сделать?
p.s. можно конечно разделить юзеров на 2 группы: "для удаленной работы" и "для доступа к share". они не смогут скопировать в расшаренный ресурс, и значит копия БД дольше сервера не уйдет... но может есть способ лучше? что бы 1с-юзеры могли пользоваться БД, а скопировать её - нет

papageorge3p.s. можно конечно разделить юзеров на 2 группы: "для удаленной работы" и "для доступа к share". они не смогут скопировать в расшаренный ресурс, и значит копия БД дольше сервера не уйдет...
нет, не можно так сделать. пользователь удаленного подключения должен иметь доступ к шаре для выгрузки отчетов из 1с...

нет, не использовал mssql. спасибо за ответы