Не способный соединиться с SQL-сервером MS

Вот то, что я сделал бы (все на Уровне NTFS, оставил бы Ваши полномочия доли путем, они):

1. Создайте группу "ReadOnlyAccess"
2. Добавьте группу Аудиторов, группу подрядчиков, и т.д. к "ReadOnlyAccess"
3. Создайте группу штата
4. Удалите полномочия пользователей домена - Вы не хотите делать это этот путь так или иначе
5. Добавьте группу Штата с минимальными полномочиями, они должны работать
6. Добавьте ReadOnlyAccess Group с доступом R/O

Можно сделать шаги 4-6 в одном выстреле, таким образом, это не несколько обновлений acl.

Теперь каждый раз, когда кому-то нужен доступ R/O все, что необходимо сделать, добавляют их к Группе "ReadOnlyAccess" никакая потребность обновить acls в будущем.