利用组策略和DFS建立安全的文件服务器

概述：
   Dfs是微软在Win2000时就已经推出的一项功能，全称是Distributed File System（分布式文件系统），微软推出Dfs的目的为了统一管理网络中的共享文件资源，避免多个共享资源杂乱无序的分布在多个服务器中，方便维护管理和用户统一定位，同时也提供了网络负载平衡和容错的功能。
       本文以作者工作环境中实际案例为基础，详细阐述了在Win2003 R2中如何使用Dfs建立分布式文件服务器，结合AD细致控制用户权限，保证数据安全，并利用组策略将分布式文件服务器路径映射网络盘，进一步方便终端用户使用Dfs文件系统，同时利用R2的文件服务器资源管理器功能对文件服务器存储的文件数据进行有效的管理。
       本文涉及的议题有：
            一：安装与配置Dfs。
            二：配置文件服务器访问权限。
            三：利用组策略将文件服务器UNC路径映射为网络驱动器。
            四：文件服务器资源管理器管理Dfs文件服务器。
            五：关于Dfs文件服务器个人体会!
       但不涉及Dfs复制相关知识!

 

       为方便大家更好理解本篇文章，首先将本次实验的模拟场景进行一次简单描述：
       某公司有两台服务器(Server1,Server2)上都有共享文件夹供日常办公使用，为方便管理，现希望通过Dfs方式实现简单方便的访问，同时保证合理的用户访问权限，实现除了公共资料文件夹外，不同的部门员工只能访问本部门内部的资料，公共资料夹全公司员工都有权利访问，部门文件夹中除了部门公共文件夹外，不同用户只能访问个人文件夹，不允许访问其他用户文件夹。
       企业已部署Active Directory，针对不同部门建立了各自的用户帐号和安全组。见图一：

      

 

 

一：安装与配置Dfs
    1:安装分布式文件系统组件
      安装分布式文件系统组件的过程非常简单，当前提条件是需要有R2安装盘。
      一个方法是选择控制面板中的添加或删除程序，然后单击添加/删除 Windows 组件，然后勾选分布式文件系统（在分布式文件系统中包含有DFS复制服务、DFS复制诊断和配置工具、DFS管理三个子组件，你可以根据需要来选择），然后点击下一步，最后单击完成即可。你需要在每一台具有相应功能的服务器上安装对应的组件。
      也可以利用“管理工具”->“配置您的服务器向导”来选择“文件服务器”角色来安装分布式文件系统组件。
      推荐使用“配置您的服务器向导”来安装，这样可以将文件服务器资源管理器组件也一起安装。如果使用第一种方式安装了分布式文件系统组件，之后也可以安装文件服务器资源管理器组件，安装文件服务器资源管理器组件方法见图二：

     

 

     安装完分布式文件系统组件和文件服务器资源管理器组件后，你可以在管理工具中看到相应的组件工具(图三)：

    

 

   2:配置分布式文件服务器
     配置分布式文件服务器的过程也很简单，你可以使用"DFS管理"组件来配置，也可以使用"分布式文件系统"组件。,
     我习惯于使用“分布式文件系统”组件，下面就以“分布式文件系统”组件说明如何配置分布式文件服务器。
     主要分为两步，第一步配置Dfs根，第二步建立Dfs链接!
     配置Dfs根：
        Dfs为共享文件夹定义了一个层次结构，类似于标准的目录结构，只是构成该目录结构的不是文件夹，而是多个共享点。
        Dfs根就可以理解为目录结构的根目录，包含Dfs根目录的服务器也称为根服务器，同时根服务器会有一个分区信息表(PKI)
        包含着指向Dfs目录结构的指针以及它们所代表的共享名称。
        在Win2003中有两种类型的Dfs根，分别是独立根和域根。
        独立根的PKI信息存储在根服务器的注册表信息中，如果独立根服务器不可用，会导致Dfs不可用。
        域根的PKI信息存储的AD中，并复制到当前域中所有DC，以实现容错性，当根服务器不可用时，其它服务器仍可向客户端传送Dfs信息。
        显然，域根是更加安全的方案，但需要AD域支持。本文以域根为例子!

        打开分布式文件系统，在“分布式文件系统”菜单，右键新建DFS根目录(图四)