Есть файловый сервер под Win2008 (не в домене).
Пользователю выделяю личную папку с полными правами доступа, т.е. расшариваю папку. В шарах даю ему полные права и в NTFS даю полные права. Делаю его владельцем папки.
Пользователи грамотные - должны изменять права на доступ. Только вот при изменении прав пользователь видит только встроенные учетки и группы. Ни других пользователей, ни других групп пользователь не видит. Даже если ввести имя группы вручную - выдает ошибку - нет такого объета. А мне нужно, чтобы пользователь сам мог изменять доступ к своим папкам и файлам.

Покапался в локальных политиках - нашел имеющие отношение к делу несколько ключей, но не помогло. Вот эти ключи:

Локальные политики\Назначение прав пользователя\Доступ к диспетчеру учетных данных от имени доверенного вызывающего
(добавил пользователя, от имени которого нужно менять права)

Локальные политики\Пераметры безопасности\Сетевой доступ:не разрешать перечисление учетных записей SAM анонимными пользователями
(было включено - отключил)


Локальные политики\Пераметры безопасности\Сетевой доступ:не разрешать перечисление учетных записей SAM и общих ресурсов анонимными пользователями
(Отключено)

Задача вроде бы типовая. Может кто сталкивался?

Для чего тогда в Windows есть разрешение "Смена разрешений"? Или это разрешение полноценно работает только локально, а по сети видим только встроенные учетки и группы?
Как-то нелогично получается. Если бы не работала "Смена разрешений!" по сети, то не работала бы совсем. Но ведь работает! Только не так как надо.

На сервере необходимо хранить документацию.

Во-первых, потому что это надежнее чем на своем ПК (на сервере RAID).
Во-вторых, часть информации должна быть доступна всем.
В-третьих, ее можно централизовано бэкапить.

В прочем, это больше касается организации работы. Вопрос чисто технический все равно остается. Почему же не работает система предоставления прав.

Все, оставил мысль о том, чтобы пользователи назначали права.
Получается очень тяжело в администрировании, ненаглядно и бардачно.

Сделал следующие ресурсы:

Общая - для всех пользователей - с правами изменения, но с аудитом.

Администрирование - с правами изменения для группы допущенной к администрированию, с аудитом.

Обмен - с очисткой по воскресеньям.

Каждому пользователю - завел папку с его фамилией. Внутри это папки - два папки: Личная и Общая. Пользователь не может ничего помещать непосредственно в свою папку и создавать каталоги (чтобы не было бардака), т.е. в его папке всегда будут только эти две папки Личная и Общая.
Папка Личная - для хранения конфидициальных данных. К ней нет доступа других пользователей, она даже не видна ими.
Папка Общая - для хранения данных, доступных для чтения другими пользователями. Если есть необходимость - пользователь может помещать ярлыки с папок или файлов, расположенных в этой папке в ресурс Общая, т.е. как бы публиковать свои данные.

Пользователям подключаю четыре сетевых диска и сохраняю пароли. Больше им объяснять ничего не надо.

Кстати один ньюанс. Если не подключать диски, а просто заходить на сетевой ресурс, то при создании папки в каталоге или добавлении файла нужно обновлять экран (F5) - сразу не видно, а вот с подключенными дисками - сразу идет обновление экрана (у меня XP).

Кстати, привожу еще скрипт, который очищает каталог обмена. Там не так все просто. Если просто выполнить певую команду - то очищается только каталог и подкаталоги от файлов. А вот для удаления подкаталогов - пришлось немного поизвращаться. Может кому пригодиться.

rem Очистка подкаталога
del /F /S /Q "F:\Telemex\Obmen­\*.*"
goto start
:REFcmd
for /d %%i in ("%~1\*") do (call :REFcmd "%%i" & rd /q /s "%%i")
exit /b
:start
call :REFcmd "F:\Telemex\Obmen"