檔案系統為NTFS，作業系統 Windows 7
想要目錄權限設定如下:

Dir1 一般User 無法在此創建目錄與檔案
+--- group1 只有該部門group1有權限可以存取 最好其他User看不到這目錄
+--- Public everyone 可以存取寫入

當然這只是簡單的範例，實際上目錄很多，加上使用者權組也很多個
不知道我要怎善用父項繼承 減少一大堆目錄權限設定的麻煩。

我想到兩種方法:

1. 子目錄全部 設定取消 "包括從此物件的父項繼承而來的權限"
   Dir1
   +--- Group1 設定取消 "包括從此物件的父項繼承而來的權限" 針對此目錄設定權限
   +--- Public 設定取消 "包括從此物件的父項繼承而來的權限" 針對此目錄設定權限

缺點: 每個目錄要一個個設定，加上群組數量很多，萬一設定錯誤，有可能會造成
低權限的使用者，存取到不該存取的目錄，有資安的風險。

2). 權限累加， 父目錄設定嚴格，也就是子目錄全部 "包括從此物件的父項繼承而來的權限"

Dir1 取消 "包括從此物件的父項繼承而來的權限" 設定較嚴格的權限
+--- Group1 增加Group1 權組 存取權限 設定 "包括從此物件的父項繼承而來的權限"， +----Public 增加everyone權限 設定 "包括從此物件的父項繼承而來的權限"

優點:權限累加: 萬一設定錯誤 至少只是使用者回報沒權限存取， 至少沒資安風險

請問各位有經驗的管理者，請問我應該怎設定會比較好，還是這兩種方法都不好。

我目前是用第二種方法，但現在的問題是
在Group1下， 有些使用者自行在此建立子目錄，會造成其他人無法無權限 可以存取
Ex: 某使用者建立user21目錄
Group1
+---- User21
User21 沒繼承到Group1的權限，也就是 "包括從此物件的父項繼承而來的權限" 並沒有被啟用。

這問題是我目前設定策略有問題，還是有些地方漏掉設定，我該怎解決。

不好意思，不太會說明這問題，如果有說明不清楚，我再補充