rat писал(а):Посылать к чтению доков это конечно правильно, но ....
Доки изучены.
И так вернёмся к нашим баранам. Клиент ftp сервера шарится именно на том сервере где находится ftproot. Так что *.tree ACCESS= NOREMOTE проблему не решает. Пользователь не входит ни в какие группы и нет никаких еквивалентов по правам.
Доки вы-таки плохо изучили. Секурити эквиваленты по правам есть у ЛЮБОГО leaf объекта - это те контейнерные объекты, которые вместе с именем образуют ПОЛНОЕ имя. Т.е., если у вас есть пользователь с полным именем User.OU1.OU2.O, то он эквивалентен по правам с OU1.OU2.O, OU2.O и O. Какие права даны вышестоящим контейнерным объектам, то те же права по секурити эквиваленс имеет и ваш User.OU1.OU2.O. И это НЕ фильтруется, by design. Зафильтровать/переопределить можно то, НА ЧТО даны права, но НЕ ТОГО, КОМУ эти права назначены.
Так что ищите, откуда вашему юзеру права "протекли", от какого из вышестоящих OU/O.
rat писал(а):Дано право только просматривать ftproot. В consoleone в закладке опекуны объекта значатся - root, public и он сам. Удаление опекунов никчему не приводит
А это (удаление опекунов) тут совершенно не при чём.