История об управлении правами папок, размещённых на файловом сервере

Несколько недель назад мне в чате социальной сети Facebook задали довольно интересный вопрос по реализации нестандартных прав на папки, расположенные на сетевом ресурсе. Была поставлена следующая задача: есть файловый сервер с установленной службой распределённой файловой системы. На этом сервере создано пространство имён «FS» и внутри этого пространства имён предоставлен доступ к одной папке, скажем, папке с названием «Full

Access», к которой у всех пользователей есть права на чтение и изменение. Внутри этой папки есть вторая вложенная папка, скажем, «Restricted Data», в которую пользователи из глобальной группы «Аудиторы» могут сохранять свои документы, но просматривать и редактировать все сохранённые в эту папку файлы должны только те пользователи, которые входят в группу «Управление», а также пользователи с административными правами.

В этой статье я напишу о двух решениях текущей проблемы, о которых мне известно. Сразу хотелось бы уточнить, что идеальное решение этой проблемы я не нашёл. То есть легко можно найти недостатки в каждом из этих методов, о которых, кстати, я напишу ниже.

Сразу хотелось бы уточнить, что ситуация воспроизводилась на файловом сервере, работающем под операционной системой Windows Server 2008 R2, а на клиентской машине, которая является членом домена, установлена операционная система Windows 7.

Подробнее у Дмитрия