Win8 win2008 server-incoherencia de permiso entre grupo y usuario

una negacion de acceso explicita manda sobre cualquier otra opcion, quiere decir que por mas que le coloques al usuario FULL CONTROL, si en algun grupo del recurso hay una negacion explicita, manda sobre cualquier otro permiso.

Debes es darle permiso al grupo de solo lectura, ejecucion y listado, y a ese usuario le das el permiso de mas que quiera. (aunque yo crearia otro grupo por si quiero en algun momento que alguien tenga los permisos de ese usuario, simplemente lo meteria al grupo y listo)

no se si me hice entender

un grupo donde tienen permiso de lectura
un grupo donde tienen permiso de modificacion

y listo (yo no colocaria el permiso de lectura a everyone, asi solo esos grupos podran acceder, el resto quedarian con una negacion implicita.)

a no ser que ese compartido quieres que lo vea de lectura todo el mundo.

ok

no se si entiendes la herencia de permisos... (si no ve leyendo)

si los que van a acceder a esas carpetas son solo cuentas del dominio, y no cosas como *unix (Linux, bsd, hpux, etc), puedes poner en vez de todos, domain users

con permiso de solo lectura (RXL LEctura Ejecucion Listado).

En cada carpeta que cambie los permisos tienes que quitar la herencia, y alli asigna el grup o el usuario(s), que necesiten modificacion borrado segun sea el caso

Y donde no quieren que puedan algunos usuarios ver nada, solo dejas las cuentas (o grupos) que Deben ver eso con el permiso necesario lectura, o modificacion.

Esto es un anegacion implicita, si no estan ls grupos normales, todos, domain users, y solo por ejemplo los que necesitan acceso, es una negacion IMPLICITA.

Manejar una negacion EXPLICITA (osea la que marcas) es en caso que por ejemplo quieras sacar a mucha gente en un momento dado como un cierre, para que no lleguen a algo.

Puedes buscar en la red el demo de Security explorer que ayuda en casos de entender en esos arboles como esta la seguridad (asi ves la herencia, lo explicito y lo implicito)

http://www.quest.com/security-explorer/

Para sacar grupos anidados de los estados de pertenencias a grupos si son muchos. y quieres verlos en otros formatos o en pantalla (puede exporter a excel, separado de comas a format de sql y otras bases de datos)...

mira en www.systemtools.com

y bajas un trial de Hyena (la major herramienta que conozco para reports sin matarse)... estas ni siquiera las tienes que instalar en los servidores si no en una estacion y las corres conun runas con cuenta de admnistrador de dominio

Ademas revisa lo ultimo de hyena que es spectacular

Discover the Group Member Matrix
New in Hyena v10.5, the Group Member Matrix lets Active Directory administrators finally see a simple layout of their user and group assignments, while at the same time having control over which group membership types (direct, indirect, primary) are important.

And like all Hyena Active Directory views, the Group Member Matrix can be fully customized and externally exported.

no me entendio mal.

solo debe corregir quitando la herencia y configurando las carpetas especiales que necesita que algunos tengan acceso de modificacion y las que no tienen acceso si no unas cuentas

dejando negaciones implicitas en donde no quiere que accedan (osea no colocando todos los grupos si no los que Deben tener acceso de algun tipo)

Lo que debes hacer es quitar la denegacion, el mismo windows te dice que las entradas de denegacion tiene mas prioridad que las de permision, no te compliques poniendo denegacion solamente fijas las de permisos por ejemplo

tienes una carpeta contabilidad y un grupo x que tiene permisos de lectura pero un usuario XXX que esta incluido dentro del grupo X y necesita permisos de modificacion entonces, lo que debes hacer en las prop de la carpeta - seguridad agregar el usuario XXX con permisos de modificacion