(в новых версиях Windows Server отнесено к роли Файлового сервера) В папке создается подпапка допустим для отдела и в ней складываются контейнеры. Права доступа выставляются на каждую папку в NTFS, а права доступа к общей папке открыты полностью. Пользователи в итоге не видят в общей папке подпапки и контейнеры, к которым у них нет доступа. Вручную ввести адрес тоже отвечает что файл не найден, если доступа нет.

Далее на каждую папку контейнера опять же можно сделать на этот раз символическую ссылку (mklink /d) и поместить на несистемный раздел диска или в папку считывателя директория. Обычно КриптоПро CSP игнорирует сетевые диски, но если сделана такая точечная символическая ссылка на сетевую папку, то контейнер все же виден. Хотя папки на несистемном диске видны всем, для реального получения содержимого папки по символической ссылке нужно иметь право доступа на ту удаленную сетевую папку. Другими словами, на не свою так просто не зайдешь. При использовании PSEXEC нужно явно авторизоваться на сервере где сетевая папка чтобы увидеть содержимое контейнера, так как PSEXEC не активирует автоматический сетевой вход. Побочный плюс: на общую папку работают политики ограничения входа, то есть можно заблокировать доступ к контейнеру в нерабочие часы или на праздничные дни запретив определенный тип входа в это время. Минус правда в том, что создание символической ссылки в зависимости от версии Windows может требовать прав администратора даже для связи двух папок в своем профиле, так что скрипт входа групповой политики несколько пролетает мимо, а вот планировщик от имени системы с повышенными правами пригодится.