windows server作为文件服务器如何精细控制权限

最近使用windows server 2003搭建了文件服务器，对于其中关于共享文件权限的精细控制有了较深的体会。

当前实现基本的共享文件目录结构是(上传图片真心费劲，大家将就一下吧)：

　　　　|--部门1--员工1、员工2……员工n

根目录--|--部门2--员工1、员工2……员工n

　　　　|--……

　　　　|--部门n--员工1、员工2……员工n

每个员工只能对自己的个人文件夹具备完全控制权限，无法查看其他部门和本部门员工的文件夹，可以查看本部门目录下的文件；部门经理对本部门文件夹内具备完全控制权限，无法查看其他部门的文件夹；所有人都可以查看根目录下的文件；文件服务器对外只共享根目录。同时，部门来新员工时，部门经理可在本部门下创建新文件夹，并授予该员工完全控制权限，这样就不用劳烦网管了。

在网上搜罗了一下相关的资料，都说可以用共享权限和NTFS权限组合进行精细控制，但是都没有特别详细的介绍，或是按照介绍根本无法实现，再或者需要将跟目录、部门目录、员工目录都共享来进行控制。

经过N次实验，确认只共享根目录并应用共享权限和NTFS权限组合是能够进行精细控制的。具体操作步骤如下：

1、创建用户组：公司、部门1、……部门n，部门组都隶属与公司组

2、创建用户：经理1、……经理n、员工1……员工n，经理与员工都隶属于各自部门组

3、创建文件夹：公司总目录，在公司总目录下创建目录：部门1……部门n

4、设置公司总目录文件夹共享，在共享标签的权限中添加组：公司，权限设为完全控制（不设成完全控制，部门经理或员工就无法给文件夹授予权限。当然如果不允许员工（包括经理）自己设置权限的话，只需勾读和改两个权限）；在安全标签的高级中添加组：公司，应用到一栏选择“只有该文件夹”，将创建、删除、写入和权限相关的几项勾上拒绝；再添加组：公司，应用到一栏选择“只有子文件夹”，将列出文件夹勾上拒绝。

5、在部门1文件夹属性安全标签中添加用户：经理1，权限设为完全控制；在高级中添加组：部门1，应用到一栏选择“只有该文件夹”，将列出文件夹、遍历文件夹勾上允许。

6、其他部门同步骤5

至此，权限设置完毕。

部门1下的员工1的专用文件夹可以由经理1来创建，经理1访问共享目录“\\xxx.xxx.xxx.xx\公司总目录\部门1”，右键新建文件夹，更改文件夹名，右键文件夹属性，安全一栏添加用户：员工1，权限勾选完全控制，员工1就可以拥有“\\xxx.xxx.xxx.xx\公司总目录\部门1\员工1”的所有权限。

该设置在域环境下测试通过，非域环境应该类似。