Bonjour,
Je voudrais protéger les 2 premiers niveaux d’une arborescence partagée.
 
Ainsi j'ai d'abord mon dossier partagé "Doss_A".
Dans ce dossier j'ai 6 sous-dossiers (Doss_B-1, Doss_B-2, Doss_B-3...), et je voudrais que le groupe d’utilisateurs Toto qui est autorisé à l'atteindre ne puisse faire absolument aucune modification de ces dossiers.
Ensuite, je voudrais qu'à l'intérieur de chacun de ces 6 dossiers, à nouveau le groupe Toto ne puisse absolument pas modifier leur contenu immédiat (par ex. Doss_C-1, Doss_C-2,...).
Enfin, il faudrait qu'à l’intérieur de ces dossiers Doss_C-1, Doss_C-2, etc. le groupe Toto ait tous les droits jusqu'au fond de l'arborescence.
 
Pour approcher cet objectif, j'ai appliqué au dossier principal Doss_A les autorisations NTFS suivantes :
- Contrôle total pour Ce dossier, les sous-dossiers et les fichiers aux Administrateurs, aux Utilisateurs, à moi.
- Refus de presque tout à part la lecture pour le groupe Toto pour Ce dossier, les sous-dossiers et les fichiers et avec la case "Appliquer ces autorisations..." cochée.
 
Tout est presque bon comme ça, sauf que le contenu des Doss_B, c'est-à-dire les dossiers Doss_C-1, Doss_C-2, etc peuvent être supprimés par le groupe Toto.
Autrement dit, les éléments du deuxième niveau en descendant ne sont pas protégés contre la suppression.
 
Auriez-vous une idée qui pourrait m'aider ?
Merci beaucoup d'avance !

Déjà appliquer le modèle AGDLP correctement, au lieu d'utiliser des Deny partout. Ensuite jouer sur l'héritage des propriétés sur les objets descendants uniquement par exemple.

Merci pour la réponse ! Il semble que le modèle AGDLP implique l'utilisation de domaine local, ce que je connais pas hélas.
Par ailleurs, bien qu'ayant essayé, je n'ai pas réussi à m'approcher de mon objectif sans utiliser de Refus d'accès.
Quelqu'un m'a parlé de ICACLS, je vais essayer de m'y mettre !
Bonne journée.