Как запретить прямой доступ к общим папкам пространства имен DFS
Я создал пространство имен DFS с именем \\dc1\bank. Есть несколько других папок с других файловых серверов (например, \\dc1\bank\folder1 - это папка в \\fs1\folder1). Я хочу ограничить пользователям прямой доступ к папкам на других файловых серверах (например: ограничение прямого доступа к \\fs1\folder1). Могу ли я сделать это в Windows Server 2008 R2?
3 ответа
Просто установите дать пользователям Traverse Directory только на \\dc1\bank, и они смогут перемещаться только по каталогу. Если вы не дадите им List Folder/Read Dataтогда они даже не смогут ничего увидеть в этом.
Затем просто предоставьте им все необходимые разрешения для \\ fs1 \ folder1 и сопоставьте их пользователям, как вы обычно это делаете (объект групповой политики, сценарий входа, отправьте ссылку по электронной почте и т. Д.). Модель безопасности идентична тому, как бы вы решили эту проблему без DFS.
Вы можете переименовать общий ресурс на FS1, поэтому, если они введут \FS1\Folder1, он просто больше не будет работать. DFS будет использовать новое имя общего ресурса, которое вы назначаете, и поэтому единственный путь для них - через DFS.
Просто нет способа делать то, что ты хочешь делать. Поскольку DFS - это просто ссылка на реальный сервер, а не пропуск.
Когда пользователь обращается к \dc1\bank, он перенаправляется к цели dfs. Данные не передаются через dc1!
Вы можете использовать $ share. Таким образом, пользователь не видит его сразу при доступе к \ fs1.
Но когда вы щелкаете правой кнопкой мыши, например, на сетевом диске, пользователь может видеть, куда указывает \dc1\bank. Тогда они могут получить доступ к доле доллара.