Но вот у меня другой вопрос.
Есть сетевой ресурс, в нем папка, в которой куча других папок.
И на одну из них надо выдать права только определенным людям.
Группы создаем, применяем на папку. Но при этом ведь у нас наследуются группы от папок сверху. И если там у кого-то есть доступ, то и искомой папке он тоже получит доступ.
Можно отключить наследование, но очень не хочется. Потом это не отследить, наглядно нигде не отображается. В отличии от наглядной схемы в АД.
Выход — выносить папку куда то наверх сетевого ресурса, чтобы убрать лишнее наследование. Но это не логично выглядит для пользователей. В рамках одного сетевого ресурса для департамента, есть подпапки отделов. И если выносить в корень ресурса, то лишняя папка там выглядит не в тему.
Или делать отдельный ресурс и ярлык на него кидать в нужное место.
В общем, какие-то костыли все ))
Может я чего-то упускаю?

Идею понял. Согласен.
Только тогда, как мне кажется. нет нужды в структуре AD городить описанную структуру:
1. Да, мы создали OU, аналогичную файловой структуре общих ресурсов
2. Создали в каждом ресурсе локальные группы на чтение, запись и листинг.
3. А далее есть ли смысл тут же класть локальные группы, аналогичного назначения? А если в каждом OU подразделения создавать глобальную группу безопасности (пресловутая Бухгалтерия, например), и уже их включать в локальные группы, назначенные в правах ресурсов?

Так то понятно, что все индивидуально.

Добрый день!

Если простым языком, то у каждого типа группы своя область применения.
Если интересно более подробно можно почитать тут https://msdn.microsoft.com/ru-ru/library/dn579255(v=ws.11).aspx
Вот простой пример разделения ресурсов:
Я хочу дать доступ к шаре бухгалтеров доступ только бухгалтерам , плюс хочу дать им доступ к общим принтерам в их комнате + доступ на sharepoint портал.
Чтобы сделать это удобно и безопасно я выполню следующее:
1) Создам глобальную группу , куда будут входить только пользователи бухгалтерии
2) Создам локальные группы, которые я применю на предоставляемые ресурсы — шары, принтеры, sharepoint и тд.
Локальные группы я создам с точки зрения безопасности, чтобы за пределами моего домена в них никто не мог вступить.
3) Универсальные группы я буду использовать только если мне нужно предоставить доступ пользователя из другого домена

Грубо говоря: глобальные для пользователей , локальные для разделения ресурсов, универсальные для всего.
Если вам хочется удобства и вам не сильно нужна безопасность, то используйте универсальные.

Можете мне описать что именно в этом моменте не ясно? Если нужно могу дополнить.

1) тут каждый сам для себя их определяет, можно назвать как хотите)
2) Возможно я не досмотрел, можно выставить и там и там на прошедших проверку.
3) права сами реплицируются, руками их на реплике настраивать не нужно.

Пожалуйста)

Что вы подразумеваете под сменой домена?
В таком случае вам нужно данные с сервера мигрировать на другой сервер в другом домене, там жу будут другие группы и структура.
Либо как вариант делать доверие между доменами, перенастраивать сервер на новые группы и потом менять ссылки в DFS, но мне кажется мигрировать данные проще.

для 15-20 пользователей вам скорее всего не нужно AD.
Поэтому скорее всего вам проще создать группы и пользователей локально, на сервере (через диспетчер сервера , оснастка computer management) и установить только одну роль, файлового сервера. В вашем случае усложнять не требуется, если сервер у вас один, то DFS вам тоже не нужен.

Тут скорее стоит правильно рассчитывать и планировать иерархию ваших каталогов.
Лучше стараться избегать раздачу прав на сильно вложенные папки.
Можно попробовать автоматизировать это через Powershell, но тут есть вероятность допустить ошибку при назначении прав.
На мой взгляд эти вопросы решает правильное планирование.