Стенд

-   ALT Workstation 11 (Sisyphus)
-   Windows Server 2019

Версия

-   gpupdate-0.11.4-alt1
-   autofs-5.1.9-alt3

Шаги воспроизведения

TLDR: связано с опцией cifsacl

1.  Создать пару подразделений (OU1, OU2).
2.  Создать по группе для данных подразделений соответственно
    (group_ou1, group_ou2)
3.  Создать по пользователю для данных подразделений соответственно
    (user_ou1, user_ou2).
4.  Добавить данных пользователей в только что созданные группы
    соответственно (user_ou1 в group_ou1, user_ou2 в group_ou2).
5.  Создать сетевую шару на сервере (C:/share) с правами чтения для
    всех.
6.  Создать подпапки для с доступом Чтение и запись только для созданных
    групп.
    1.  C:/share/ou1 для group_ou1
    2.  C:/share/ou2 для group_ou2
7.  Согласно документации 10.5.7. Подключение сетевых дисков
    (https://docs.altlinux.org/ru-RU/domain/10.4/html/group-policy/drives.html)
    настроить сетевой диск для C:/share (машинная политика как cshare).
8.  Применить групповые политики: # gpupdate && gpoa и $ gpupdate.
9.  Войти пользователем Admin (Администратор домена) на тестовой машине
    в графической сессии, проверить наличие шары:
    $ ls -l /media/gpupdate/drives.system/cshare/. Обратите внимание,
    что присутствуют все папки, так как у администратора есть доступ к
    ним.

    drwx-----T 2 root пользователи домена 4096 дек 10 15:37 ou1
    drwx-----T 2 root пользователи домена    0 дек 10 13:07 ou2

10. Войти пользователем user_ou2 на тестовой машине в графической
    сессии, проверить наличие шары:
    $ ls -l /media/gpupdate/drives.system/cshare/.

Ожидаемый результат доступ только к папке группы

    drwx-----T 2 root пользователи домена 0 дек 10 17:35 ou2

Фактический результат доступ как у администратора, заходившего ранее на
станцию.

    drwx-----T 2 root пользователи домена 4096 дек 10 17:35 ou1
    drwx-----T 2 root пользователи домена    0 дек 10 17:35 ou2

Воспроизводится в P10