>Т.е. задача вроде "открыть каталог одним юзерам на запись, вторым на чтение, а третьим ничего" не ставилась? Нет, честно говоря, не представляю для чего это нужно.
Задача ставилась максимально быстро и эффективно разделить сетевые ресурсы между компаниями и их подразделениями, без какой-либо дальнейшей обработки напильником, и исключить факторы ротации персонала.
А до этого были случаи, например, что с перерывом в одну минуту звонили вначале из здания за 10 километров сервернее, что у них принтер не печатает, а после из здания за 5 км южнее, что кто-то постоянно отправляет на печать одно и то же, и у них бумага закончилась, а всего лишь одна ошибка в раздаче прав, в сети с "плавающей" топологией (как оказалось принтер передали на баланс другому предприятию).
Ну а задачи защиты информации решаются совсем другими средствами и организационными мерами, и AD тут не помощник.