Есть сервер приложений под управлением Windows Server 2003 SP1. Сервер член домена. Для функционирования установленного приложения необходимо открыть общий доступ на папку для аккаунта Everyone (Все) с правами записи. Под этой группой "Все" подразумеваются пользователи локально зарегистрированные на сервере (а не в домене). Из группы "Пользователи" Domain User, Интерактивные и Прошедшие проверку убраны. На практике получилось, что все пользователи Domain User могут пользоваться этим ресурсом. Как запретить доступ на шару для Domain User?

Можно попробовать выставить явно для Domain User запрет. У виндовса запреты имеют больший приоритет. Если на диске - НТФС, то можно еще попробовать поставить эти-же запреты на чтение-запись.

Kuzz, спасибо. Я тоже решил так сделать, если, конечно, не найду где Domain User получают права пользователей сервера.

Основная проблема этого случая: группа "Everyone" (SID S-1-1-0). То-есть идентификация (для работы с правами гр.Everyone) не проводится.

Я думаю, что в этом контексте Domain Users == Прошедшие проверку. А ещё Domain Users автоматически входят в локальную группу Users.

А насчёт обязательности доступа для Everyone - это экспериментально проверено или написано в инструкции? Я лет несколько назад тоже в одном мануале такое прочитал, позвонил в теходддержку, мне сказали, что на самом деле достаточно права на изменение для тех, кто допущен. А в мануале написали самый простой вариант "для чайников".

Domain Users == Прошедшие проверку. А ещё Domain Users автоматически входят в локальную группу Users. Я тоже так думаю, но явный для Domain User запрет остановит их (пользователей) авторизацию, т.е. доступ запрещен; а с другими вариантами - непонятки, т.к. винда отображает списки ACL не в той последовательности, в которой обрабатывает..

А насчёт обязательности доступа для Everyone... если прога писалась еще во времена НТ4.0, то может и такое быть.. но лучше узнать это точно.

если прога писалась еще во времена НТ4.0, то может и такое быть.. но лучше узнать это точно.
Изначально была написана для NT4.0, потом после небольшой доработки разработчиком стало возможным запускать на W2k и выше. Everyone - оптимальный вариант, к сожалению. Саппорт гарантирует работу только при такой настройке. Спасибо за советы. Буду пробовать явно запрещать доступ для Domain User.

Из группы "Пользователи" Domain User, Интерактивные и Прошедшие проверку убраны.
Это я погорячился. Интерактивные и Прошедшие проверку желательно оставить. А для Domain User выставил явный запрет. Kuzz, спасибо еще раз за наводку.