Да на корневую папку можно дать Read and Execute для Authenticated Users.
Права на шару - Full Control для Authenticated Users.
Создаете три типа групп на каждую папку с определенным подходом к их наименованию (префикс суффикс и имя папки в середине например):
1. List and traverse ("Traverse folder/execute file и List folder/read data") к "This folder only". (чтобы можно было "провалиться" в папку)
2. read and execute к This folder, subfolder and files" (доступ для чтения)
3. Modify к This folder, subfolder and files" (доступ на редактирование).
1 группа должна быть членом 1 группы родительской папки, 2 и 3 группа с правами на папке - должна быть членом 1 группы родительской папки (чтобы по структуре папок можно было спускаться вниз до групп с правами на доступ).
И 4 типы групп - для конфиденциальных папок (когда отключается наследование прав с родительской папки))
И потом просто добавляете аккаунты в нужные вам группы и уведомляете что доступ появится максимум через 10 часов (время жизни TGT по умолчанию)