Windows Server 2003 R2 и настройки доступа на уровне безопасности

Задача:
1) Имеется файловый сервер с ОС Windows Server 2003 R2 (член домена).
2) На нем имеется общий ресурс с полным разрешением на уровне доступа для группы "Пользователи домена".
3) Дерево начинается с папки USERS, в которой на уровне безопасности даны наследуемые права на чтение группе "Пользователи домена". (полные права делят Администраторы (локальный и домена), SYSTEM и СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ )
4) внутри этого контейнера есть папки пользователей, Например "Иван Иванов", "Петр Петров" и т.д. Для каждой из них в безопасности дописываются права каждому конкретному пользователю полные (не считая возможности изменения настроек безопасности) на эту папку и все вложенные, а так-же запрет на удаление этой конкретной папки.

Пока все красиво, пользователи домена спокойно заходят и читают каталог, пользователь - для кторого создавался каталог волен делать с ним что заблагорассудится, но не может удалить сам каталог. Дальше интересней:

5) В каталоге пользователя создаем папку "ЛИЧНОЕ", из которой убираем все права для "Пользователи домена", остальные права на "ЛИЧНОЕ" наследуются из каталогов выше.

В итоге получаем что пользователи домена, не имеют доступа в этот каталог даже на чтение, а Администраторы, SYSTEM, СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, и пользователь для которого этот каталог создавался имеют полный доступ к нему. Но пользователь может этот каталог удалить, а нам это не надо.

6) Добавлем запрет на удаление папки ЛИЧНОЕ!

В итоге все супер (почти), в личное никто кроме того кто надо не попадает, все что надо кто надо читает, чел для которого каталог создавался делает все что хочет в нем, НО он по-прежнему может УДАЛИТЬ каталог "ЛИЧНОЕ", а мы действием №6 поставили жесткий запрет ему на удаление этого каталога...

Вопросы:

1) Почему имея жесткий запрет на уделение пользователь продолжает иметь право удалять каталог?
2) Где выход? (кроме использования UNIX и использования иной структуры дерева каталогов).

 

БульЁн,
Вас нанять? Или вы тут выпендриться решили?
Пользы от вашего поста 0. А если сказать по теме нечего то и нефик клаву морать...

добавлено через 30 минут
Добавлю еще, что если посмотреть действующие разрешения (стандартная закладка винды для проверки) у папки "ЛИЧНОЕ" для интересующего нас пользователя, то разрешения на удаление объекта у него нет.

 

Права на удаление внутри контейнера, и самого контейнера это разные вещи, и права на уровне безопасности можно раздавать тремя способами: для самого контейнера, для содержимого контейнера, и для контейнера вместе с его содержимым. Есть наследование прав от вышестоящих контейнеров, но это наследование можно прервать в любой точке дерева и объявить новые права и правила наследования для любого объекта.

Вы предлагаете начать с того чтобы закрыть доступ на первом уровне всем пользователям домена кроме одного, а потом чем глубже тем больше прав раздавать?

Короче с правами доступа усе ништяк кто надо имеет доступ кто ненадо нет, но если у контейнера N стоит запрет на его удаление и работает как положено (только его самого а не входящих в него объектов) то такой-же запрет на контейнер уровня N+1 уже не действует, хотя винда сама рапортует что прав у пользователя на удаление контейнера нет.

добавлено через 23 минуты
И именно в этом-то и заключается проблема...

 

Запрет всегда выше разрешения и неважно на каком вышестоящем уровне пользователю давались разрешающие права. Если есть запрет то он выше всех разрешений даже если они даются в одном и том-же контейнере не говоря уж об наследовании от вышестоящих контейнеров (родителей).

Мне не 14 лет, и даже не 24, и книжек я перечитал достаточно, и с логикой у меня тоже все нормально. Скажите в какой книжке описана моя ситуация, и я прислушаюсь вашего совета, а скупать все я не намерен.

 

Удачи!
Итак, что нужно увидеть:
Есть видимая по сети, доступная для чтения всем пользователям папка "1". Полными правами в этой паке обладают администраторы и один единственный пользователь не входящий в группу администраторы. Этот пользовтель не может удалить папку "1" но внутри ее волен делать все что захочет.
В папке "1" администратор создает паку "2", к которой имеют полный доступ администраторы и тот-же единственный пользователь который имеет право рулить в паке "1" но этот пользователь также не имеет возможности (в отличае от админов) удалять папку "2". Все остальные пользователи не имеют прав доступа к папке "2" даже на чтение.

добавлено через 56 минут
panda-34,
Прошу прощенья, вы абсолютно правы. "Удаление" и "Удаление подпапок и файлов" не одно и тоже. Я действительно просто забыл снять это разрешение и запрет на "Удаление" не противоречил разрешению на "Удаление подпапок и файлов". Магнитные бури наверно, бошка отказалась работать...

Всем спасибо все работает!