5.4.2 DFS特性和安全考虑

5.4.2  DFS特性和安全考虑

1．DFS主要特性

DFS具有以下几个重要特性。
1）容易访问文件
DFS在易访问文件方面提供的好处主要表现在：
分布式文件系统使用户可以更容易地访问文件。即使文件可能在物理上分布于多个服务器上，用户也只需转到网络上的一个位置即可访问文件。而且当您更改目标的物理位置时，不会影响用户访问文件夹。因为文件的位置看起来相同，所以用户仍然以与以前相同的方式访问文件夹。
用户不再需要多个驱动器映射即可访问他们的文件。
计划的文件服务器维护、软件升级和其他任务（一般需要服务器脱机）可以在不中断用户访问的情况下完成，这对Web服务器特别有用。通过选择网站的根目录作为DFS根目录，您可以在分布式文件系统中移动资源，而不会断开任何HTML链接。
2）可用性
在可用性方面，DFS以两种方法确保用户可以保持对文件的访问。
首先，Windows Server 2003操作系统自动将DFS映射发布到Active Directory。这可确保DFS名称空间对于域中所有服务器上的用户是可见的。
其次，作为管理员还可以复制DFS根目录和目标。复制指您可在域中的多个服务器上复制DFS根目录和目标。这样，即使在保存这些文件的某个物理服务器不可用的情况下，用户仍然可以访问他们的文件。
3）服务器负载平衡
DFS根目录可以支持物理上分布在网络中的多个目标。如果知道您的某个文件将被用户频繁访问，这一点将很有用。与所有用户都在单个服务器上以物理方式访问此文件从而增加服务器负载的情况不同，DFS可确保用户对该文件的访问分布于多个服务器，相当于负载均衡。然而，在用户看来，该文件是驻留在网络的同一位置。
4）文件和文件夹安全
因为共享的资源DFS管理使用标准NTFS和文件共享权限，所以您可使用以前的安全组和用户账户以确保只有授权的用户才能访问敏感数据。

2．使用DFS的安全考虑
在使用DFS时，要确保除了授予必要的权限之外，DFS服务不实施任何超出Windows Server 2003家族系统所提供的其他安全措施。指派到DFS根目录或DFS链接的权限决定可以添加新DFS链接的用户。
目标的权限与DFS拓扑无关。例如，假定有一个名为MarketingDocs的DFS链接，并且您有适当的权限可以访问MarketingDocs所指向的特定目标。这种情况下，您即可访问目标集中的所有其他目标，而不管您是否有权限访问那些其他目标。然而，具有访问这些目标的权限决定您是否可以访问目标中的任何信息。此访问由标准Windows Server 2003家族安全控制台决定。
总之，当用户尝试访问某个目标和它的内容时，底层文件系统将强制安全性。因此，FAT卷提供文件上的共享级安全，而NTFS卷提供了完整的Windows Server 2003安全性。为了维护安全性，您应使用NTFS和文件共享权限以保证DFS所使用的任何共享文件夹的安全，以便只有授权用户可以访问它们。