问如何防止非域计算机访问域共享资源？

EN

我的公司正在使用Windows 2008 R2作为域控制器和文件共享，所有客户端计算机都安装了Windows7Professional。一些客户端计算机被添加到域中，用于访问共享资源以进行协作，而其他客户端计算机则不添加到域中用于其他用途。防火墙软件对域名计算机进行了网络限制。每个员工都有自己的域用户account+password，当他登录到域客户端计算机时，他可以通过“映射网络驱动器”或“添加网络位置”访问共享文件(例如\domain_ip_address\folder_sharename)，并在服务器上指定自己的权限。

至于权限配置，据我所知，共享权限和NTFS权限一起确定结果权限:限制性越强的配置就越有效。因此，正如通常的建议一样，我为文件夹赋予了共享权限Everyone: Full Control和每个域用户帐户各自的NTFS权限。

一切似乎都进行得很顺利。我错误地认为，如果没有将一台计算机添加到域中，它就绝对无法访问域共享资源。

几天前，在一台非域计算机上，我尝试了“地图网络驱动器”和“添加一个网络位置”，我被提示输入凭据，我以“domain_name\domain_user_account”+“密码”的形式提供了一个域用户帐户，我成功地访问了共享文件夹，我感到震惊。

我的目标是只允许添加到域的计算机访问域共享资源。然后，在文件夹的共享权限设置中，我删除了“每个人:完全控制”，并添加了“域计算机:完全控制”。但是结果是:即使在域计算机上，域用户帐户也无法访问它，即使是完全控制NTFS配置的域用户帐户也是如此。

我的问题：

1.有人能告诉我为什么我会得到这个意想不到的结果(至少对我来说是这样)吗？也就是说:为什么共享权限域计算机:完全控制甚至阻止使用域计算机的具有完全控制NTFS权限的域用户访问共享资源？是否有人成功地在共享或NTFS权限中使用过域计算机？

2.如何改进？我不希望在我目前的服务器设置上做大手术。

-“更新2015-10-28-------------------------------------------”

让我提供关于我的2台服务器的设置的更多细节。坦率地说，我不是IT专家，这两台服务器都是由我的朋友建造的。它们都是与Windows 2008 R2一起安装的。

第一个，比如server_A，充当域控制器、DHCP服务器，并存储用于共享的文件。

第二个服务器，如server_B，作为DNS服务器，并安装了威胁管理网关2010 (TMG2010)，主要用于控制哪个客户端设备可以访问internet。