我创建了一个名为 \\dc1\bank 的 DFS 命名空间。还有一些来自其他文件服务器的文件夹(例如 \\dc1\bank\folder1 是 \\fs1\folder1 上的文件夹)。我想限制用户直接访问其他文件服务器上的文件夹(例如:限制直接访问 \\fs1\folder1 )。我可以在 Windows Server 2008 R2 中执行此操作吗?
答案1
只需将Traverse Directory\\dc1\bank 上的权限设置为仅允许用户浏览该目录即可。如果您不将 权限设置为仅允许用户浏览该目录List Folder/Read Data,则用户甚至无法查看其中的任何内容。
然后只需向他们授予 \\fs1\folder1 上所需的任何权限,并以通常的方式将其映射到用户(GPO、登录脚本、通过电子邮件发送链接等)。安全模型与您在没有 DFS 的情况下解决此问题的方法相同。
答案2
根本就没有办法做你想做的事。因为 DFS 只是对实际服务器的引用,而不是传递。
当用户访问 \dc1\bank 时,他被重定向到 dfs 目标。数据不通过 dc1 传输!
您可以使用 $ 共享。这样,用户在访问 \fs1 时不会立即看到它。
但是,当你右击网络驱动器时,用户可以看到 \dc1\bank 指向的位置。然后他们就可以访问美元份额。
答案3
您可以重命名 FS1 上的共享,因此如果他们输入 \FS1\Folder1,它将不再起作用。DFS 将使用您指定的新共享名称,因此他们到达那里的唯一方法是通过 DFS。