寻找基于 Windows 的解决方案。
背景:
- 位于网络 A 上的独立 WS 2012R2 正在通过本地用户共享具有 R/W 访问权限的文件夹。
- 隔离的网络 B 包含用户 PC,其中一些加入了网络 B 的 WS 2019 AD,另一些则配置为独立。
- 网络 A 和 B 通过防火墙/路由器设备连接。
要求:
- 使网络 A 中的 2012R2 服务器上的共享对网络 B 上的用户电脑以只读方式可用。
- 网络 B 上的加入域的用户 PC 和独立用户 PC 都需要具有对该共享的访问权限。
- 保证用户的访问权限是只读的。
- 用户需要能够直接从只读共享/映射驱动器启动应用程序。
限制:
- 无法对 Windows 2012R2 服务器进行任何更改。
- 用户不应该能够绕过 RO 控制并将共享映射为 RW。
讨论:
基本上,我们需要在网络 B 内重新共享 WS 2012R2 共享,但这次要将其设置为只读,或者以某种方式配置用户 PC 以映射 RW 共享 RO。但是,由于某些用户 PC 未加入域,因此我们不能简单地让他们“看到”外部共享(要求 3)。
临时解决方案:
Linux 机器 CIFS 安装 WS2012R2 共享并使用 samba 将其导出为 RO。这可行,但引入了另一个平台,这是不可取的。此外,它比真正的 Windows 解决方案慢一些,并且重新解析点会“丢失”。
迄今已尝试:
- SMB 共享 SMB 共享
- mklink /d 共享然后导出链接
- SUBST 命令
- 以上 3 个连锁店
- DFS 命名空间
- FTP 共享 SMB 共享(不能很好地用作真实地图)
- NFS 共享 SMB 共享(windows 一直取消引用网络路径,导致失败)
- 在 Hyper-V 主机和 VM 之间共享
- 在 Windows 上构建 SAMBA。进展相当顺利,但仍无法完成构建。即使构建成功,也不指望它能在 Windows 上正常工作(不支持)
- 通过路由器代理请求。目前还没成功。
答案1
合乎逻辑的方法是,当您的 Windows 2012R2 在工作组中时,我会在该服务器上本地创建另一个本地用户,即 RO。但这会破坏这一点;
限制:
No changes can be made to the Windows 2012R2 server.
另一个解决方案是使用另一台服务器并与 DFS 同步,但 2012R2 需要加入域才能正常工作。您说它违反了规则 #3,但事实并非如此,因为您可以将安全性放入两个用户的共享中,一个只读,另一个为 RW,这部分工作正常,并且工作组中的 PC 可以使用正确的用户帐户手动映射驱动器。
答案2
- 确保网络 B 的 PC 无法通过网络访问当前的 2012 R2 文件服务器(适当的防火墙规则或交换机 ACL)
- 设置从 2012 R2 文件服务器到新文件服务器的 robocopy 作业(使用 /MIR 选项)
- 在新的文件服务器上创建 RO 共享,从中可以获取数据的只读副本。