Вот наша установка. У нас есть домен и запущен файловый сервер Windows 2008. Все наши Mac подключены к домену. Когда пользователь A подключается к серверу и создает новую папку в своем общем ресурсе, он становится владельцем, и все в его команде по-прежнему наследуют свои исходные разрешения для файлов, которые он создает. Когда пользователь А покидает компанию, папка становится владельцем недействительного пользователя, поскольку учетная запись AD отключена, и никто, даже администратор, не имеет доступа для просмотра файлов в этой папке. Конечно, администратор может войти и изменить владельца папки, чтобы все могли снова увидеть файлы, но должен быть какой-то способ настроить разрешения, чтобы администраторы всегда были владельцами.
Вы правы, что администратор сервера может стать владельцем папки и снова сбросить разрешения / наследовать их и т. Д.
Похоже, что происходит следующее: вы устанавливаете разрешения NTFS как «Полный доступ» вместо «Изменить» для своих пользователей. Предоставляя им ПОЛНЫЙ КОНТРОЛЬ, вы позволяете им владеть папками / файлами на общих серверах, когда они создают папки.
Лучшим выбором здесь является установка DOMAIN ADMINS как ПОЛНЫЙ КОНТРОЛЬ на общих папках / папках NTFS, а затем настроить локальные группы / пользователей домена как имеющие только доступ MODIFY. Это позволит им создавать папки, но не позволит им стать владельцем или устанавливать безопасность для папок / файлов.