原始出處:http://alligator.blog.51cto.com/36993/97664

概述：
Dfs是微軟在Win2000時就已經推出的一項功能，全稱是Distributed File System（分散式檔案系統），微軟推出Dfs的目的為了統一管理網路中的共享檔案資源，避免多個共享資源雜亂無序的分佈在多個伺服器中，方便維護管理和使用者統一定位，同時也提供了網路負載平衡和容錯的功能。
本文以作者工作環境中實際案例為基礎，詳細闡述了在Win2003 R2中如何使用Dfs建立分散式檔案伺服器，結合AD細緻控制使用者許可權，保證資料安全，並利用組策略將分散式檔案伺服器路徑對映網路盤，進一步方便終端使用者使用Dfs檔案系統，同時利用R2的檔案伺服器資源管理器功能對檔案伺服器儲存的檔案資料進行有效的管理。

本文涉及的議題有：
一：安裝與配置Dfs。
二：配置檔案伺服器訪問許可權。
三：利用組策略將檔案伺服器UNC路徑對映為網路驅動器。
四：檔案伺服器資源管理器管理Dfs檔案伺服器。
五：關於Dfs檔案伺服器個人體會!
但不涉及Dfs複製相關知識!

為方便大家更好理解本篇文章，首先將本次實驗的模擬場景進行一次簡單描述：
某公司有兩臺伺服器(Server1,Server2)上都有共享資料夾供日常辦公使用，為方便管理，現希望通過Dfs方式實現簡單方便的訪問，同時保證合理的使用者訪問許可權，實現除了公共資料資料夾外，不同的部門員工只能訪問本部門內部的資料，公共資料夾全公司員工都有權利訪問，部門資料夾中除了部門公共資料夾外，不同使用者只能訪問個人資料夾，不允許訪問其他使用者資料夾。

企業已部署Active Directory，針對不同部門建立了各自的使用者帳號和安全組。見圖一：

一：安裝與配置Dfs
1:安裝分散式檔案系統元件
安裝分散式檔案系統元件的過程非常簡單，當前提條件是需要有R2安裝盤。
一個方法是選擇控制面板中的新增或刪除程式，然後單擊新增/刪除 Windows 元件，然後勾選分散式檔案系統（在分散式檔案系統中包含有DFS複製服務、DFS複製診斷和配置工具、DFS管理三個子元件，你可以根據需要來選擇），然後點選下一步，最後單擊完成即可。你需要在每一臺具有相應功能的伺服器上安裝對應的元件。
也可以利用“管理工具”->“配置您的伺服器嚮導”來選擇“檔案伺服器”角色來安裝分散式檔案系統元件。

推薦使用“配置您的伺服器嚮導”來安裝，這樣可以將檔案伺服器資源管理器元件也一起安裝。如果使用第一種方式安裝了分散式檔案系統元件，之後也可以安裝檔案伺服器資源管理器元件，安裝檔案伺服器資源管理器元件方法見圖二：

安裝完分散式檔案系統元件和檔案伺服器資源管理器元件後，你可以在管理工具中看到相應的元件工具(圖三)：

2:配置分散式檔案伺服器
配置分散式檔案伺服器的過程也很簡單，你可以使用"DFS管理"元件來配置，也可以使用"分散式檔案系統"元件。,
我習慣於使用“分散式檔案系統”元件，下面就以“分散式檔案系統”元件說明如何配置分散式檔案伺服器。
主要分為兩步，第一步配置Dfs根，第二步建立Dfs連結!
配置Dfs根：
Dfs為共享資料夾定義了一個層次結構，類似於標準的目錄結構，只是構成該目錄結構的不是資料夾，而是多個共享點。
Dfs根就可以理解為目錄結構的根目錄，包含Dfs根目錄的伺服器也稱為根伺服器，同時根伺服器會有一個分割槽資訊表(PKI)
包含著指向Dfs目錄結構的指標以及它們所代表的共享名稱。
在Win2003中有兩種型別的Dfs根，分別是獨立根和域根。
獨立根的PKI資訊儲存在根伺服器的登錄檔資訊中，如果獨立根伺服器不可用，會導致Dfs不可用。
域根的PKI資訊儲存的AD中，並複製到當前域中所有DC，以實現容錯性，當根伺服器不可用時，其它伺服器仍可向客戶端傳送Dfs資訊。
顯然，域根是更加安全的方案，但需要AD域支援。本文以域根為例子!

開啟分散式檔案系統，在“分散式檔案系統”選單，右鍵新建DFS根目錄(圖四)

在根目錄型別中，選擇“域根目錄”(圖五)

選擇當前的域名，在主伺服器中，可以直接輸入根伺服器的NetBios名稱，也可以通過瀏覽方式，選擇指定的主伺服器(圖六)：

在根目錄名稱介面，輸入相應的資訊(圖七)：

在根目錄共享中，選擇你指定的共享路徑，如果檔案不存在，嚮導會自動建立對應的檔案(圖八)。

根目錄建立完成後，分散式檔案系統中會相應生成Dfs根目錄(圖九)

建立Dfs連結
建立好Dfs根目錄後，為了能讓Dfs正常執行，我們還需要建立Dfs連結才能完成整個Dfs的建立。方法就是在Dfs根上點右鍵，新建Dfs連結，為連結起個名字並指向適當的的共享資源就可以了。
這裡我建立了兩個Dfs連結，分別模擬場景中對應的兩臺伺服器共享資料夾,每個資料夾下面都已經建立好三個子資料夾。(圖十)

遠端檔案伺服器建立過程略過。

建好Dfs連結後，分散式檔案系統結構如下(圖十一)：

二：配置檔案伺服器訪問許可權
1：正確配置使用者工作資料夾
首先看一下場景中對應資料夾安全的實現目標,其中LocalFileServer資料夾對應著Dfs連結中的本地檔案伺服器：

公司級別資料夾許可權要求：

部門內部資料夾許可權要求：

明確了安全目標，接下來以IT Depart資料夾為例，說明如何配置安全的共享資料夾訪問許可權，其它兩個資料夾配置辦法類似。
選中"IT Depart"資料夾，右鍵選擇"共享與案例",在"安全"選項卡,選"高階",在“高階安全設定”中，
取消“允許父項的繼承許可權傳播到該物件和所有子物件。。。”。勾，在彈出的視窗中，選擇“刪除”

刪除繼承後，再新增”IT Depart“安全組到”安全“選項卡中。

注意：IT Depart安全組是在AD中建立，成員包括：ITTrainer,RogerWang,見圖一.
為方便管理，建議將Domain Admins使用者組也加入到該資料夾,並賦給“安全控制”許可權。

其它資料夾許可權設定思路大同小異，請參考IT Depart資料夾上述步驟，過程略!

2：設定好工作資料夾許可權後，接下來步驟是正確配置Dfs共享資料夾訪問許可權
首先檢查一下預設的檔案伺服器對應的共享資料夾訪問許可權。
1)：根目錄共享資料夾
共享使用者是Everyone,許可權是隻讀

安全選項卡中，使用者和許可權是直接繼承自上級目錄,對於Superlan\Users只有讀取許可權

2)：Dfs連結對應的共享資料夾，預設的訪問許可權與根目錄共享資料夾訪問許可權一致,在此略過!

3：通過客戶端訪問Dfs伺服器，測試當前的使用者許可權。
客戶端以域帳號ITTrainer登入後，通過執行UNC訪問路徑“\\superlan.vmtest.com\檔案伺服器”，
可以正常訪問到Dfs檔案伺服器，但此時只能瀏覽，在任一級目錄沒有寫許可權。

3：對共享資料夾賦給域使用者正確許可權
1)：根目錄共享資料夾,許可權不變
2)：Dfs連結共享資料夾
在共享選項卡中，給Everyone使用者許可權新增“更改”許可權

在“安全”選項卡中，給Users(Superlan\Users)新增"拒絕"寫入許可權。
新增”拒絕寫入“許可權的目的是防止使用者在與"IT Depart"同級目錄中新增資料夾!

至此,檔案伺服器安全訪問許可權已經配置完成，可以通過客戶端登入到Dfs伺服器進行相應測試!

三：利用組策略將檔案伺服器UNC路徑對映為網路驅動器
通過上面步驟，客戶機已經可以通過UNC路徑訪問Dfs檔案伺服器，進行正常的檔案訪問，貌似已經比較完美。
但在實際工作中我們發現，在企業常常會有一些使用者，連上述UNC路徑(\\superlan.vmtest.com\檔案伺服器)都不懂使用，希望有更加方便簡捷的途徑使用檔案伺服器。沒辦法，企業內IT人員永遠是為使用者服務，既然有此需求，只能想辦法實現。
下面給出利用組策略實現將UNC名對映成網路盤的基本思路。
1：編寫使用者登入指令碼，實現UNC到網路驅動器的對映。
使用者登入指令碼如下,檔名：NetDisk.VBS

On error resume Next
strRemotePath = "\\Superlan.VMTest.com\檔案伺服器"
strNewName = "檔案伺服器"

Set objNetwork = CreateObject("Wscript.Network")
Set colDrives = objNetwork.EnumNetworkDrives

'Wscript.Echo colDrives.Count

if colDrives.Count = 0 then
strDriveLetter="X:"
else
strDriveLetter = Chr(Asc(Left(colDrives.Item(0),1))-1) & ":"
end if

' Section to map the network drive
Set objNetwork = CreateObject("WScript.Network")
objNetwork.MapNetworkDrive strDriveLetter, strRemotePath

' Section which actually (re)names the Mapped Drive
Set objShell = CreateObject("Shell.Application")
objShell.NameSpace(strDriveLetter).Self.Name = strNewName

2：使用老朋友GPMC，在AD中建立一個用於分發Dfs檔案伺服器的組策略,在使用者配置->Windows設定->指令碼(登入/登出)->登入，
選擇上述的NetDisk.VBS指令碼。實現在使用者登入時執行對映網路驅動器動作!
注意，一定要將上述指令碼存放到該組策略對應的Logon目錄下,該組策略才能生效!

3：連結該組策略到具體的OU，請注意要連結到使用者OU中，不要連結到計算機OU中。
4：啟動客戶機測試組策略結果,檢測是否可以正確對映網路驅動器。

四：使用檔案伺服器資源管理器管理Dfs檔案伺服器
檔案伺服器部署成功，在實際環境中正式使用後，如何有效的進行檔案伺服器，比如每個使用者資料夾大小，檔案型別，以及儲存情況呢？
微軟的Win2003 R2中提供了一個強大的檔案伺服器資源管理器元件，可以方便網路管理員更好地監視、控制和管理儲存在公司伺服器上的資料的型別和數量。
本文只介紹一些簡單的使用方法，詳細使用請參見微軟文件([url]http://www.microsoft.com/china/technet/itsolutions/msit/valuecard/msfsrmvc.mspx[/url])
或風間子的檔案伺服器資源管理使用文件([url]http://www.winsvr.org/info/info.php?sessid=&infoid=48[/url])
1：建立配額監視檔案伺服器使用情況
在FSRM管理控制檯中展開配額管理，右擊配額，選擇建立配額。
在彈出的建立配額對話方塊上，首先選擇配額路徑，預設選項為在路徑上建立配額。
如果你想監視該目錄下完整使用情況，可以選擇第二個。
然後選擇從此配額模板派生屬性（推薦選項）並選擇對應的模板，如果你需要建立自定義的配額則選擇定義自定義配額屬性。

最後點選建立即可，完成後如下圖所示

這時就可以看到相應的資料夾以及子資料夾使用情況。

2：使用檔案遮蔽管理，拒絕使用者存放某些型別檔案。
在FSRM管理控制檯中展開檔案遮蔽管理，右擊檔案遮蔽，選擇建立檔案遮蔽，然後在彈出的建立檔案遮蔽對話方塊上輸入路徑，選擇對應的模板，如果需要則可以選擇定義自定義檔案遮蔽屬性進行自定義，然後點選建立。

3：使用儲存報告管理，實時瞭解檔案伺服器資源狀況
在FSRM中，提供了非常詳盡的儲存報告功能，通過此功能，可以很清楚的瞭解到伺服器上所儲存的資源狀況。也可以建立計劃報告任務來定期建立報告，也可以立即生成報告。

五：對Dfs檔案伺服器個人體會
1：通過Dfs檔案伺服器，我們可以實現將存在網路多個不同位置的共享資料夾統一位置來訪問，但在實際環境中如有條件，強烈建議只使用一臺獨立伺服器做專職的檔案伺服器!
2：對於Dfs來說，雖然只要求Dfs根必須在NTFS捲上，但從安全性方面考慮，強烈建議Dfs連結資料夾也建立在NTFS卷中。
3：理論上Dfs可以無限包含子資料夾，但實際上Dfs路徑長度不能超過260位元組，建議在建立資料夾時使用簡潔的命名方案。
4：同一個Dfs根不能從現有的連結中再建立子連結，基本的Dfs名稱空間只有一級深度。

轉載於:https://blog.51cto.com/microbear/307301