Windows2008SVのDFSでアクセス権限の無い共有フォルダの表示を無効にするには

「アクセスベースの列挙」を使うといいようです。
こちらの記事が参考になります。
http://blogs.technet.com/b/junichia/archive/2008/12/25/3173084.aspx

通常、作成する共有名の最後に$を付けると、共有フォルダをネットワーク上から隠蔽できるのですが、DFS配下にそれらの共有フォルダをDFSメンバーとして配置すると隠しておいたはずの共有が、domainDFSROOT以下に表示されてしまう、というのをこれで防ぐことができそうです。ただ、上の記事を見てもよく分からなかったのが、

このコマンドでは、DFS名前空間「営業部」内の「幹部社員用」というエントリに対して、「contosoドメインの一般社員グループに所属するメンバー」からの一切のアクセス権（F）を拒否（Deny）しました。

というのが、共有フォルダへの実際のアクセス権を拒否するのかDFSで表示されることだけを抑制するのか、ということだったのですが、実際にやってみたところ、どうやら後者のようです。
そのため、DFSROOT以下のフォルダはデフォルトではDFSROOTに表示させないということであれば、

dfsutil.exe property ABDE enable domainDFSROOT

でDFSROOTに対する、アクセスベースの列挙を有効にしたあと、

dfsutil.exe property acl deny domainDFSROOT任意のDFSメンバー “domain一般社員グループ（全ての社員を含むグループ）”:F

とやれば、アクセスパスさえ知っていればアクセスはできるが、デフォルトではDFSROOTには表示させない、ということができそうです。

しかし、DFSは本来、社内のいろいろな共有フォルダを仮想的にひとつのフォルダツリーにまとめるためのものなので、隠蔽したいならそもそもDFSなんか使わなければいいのでは？ということもあるかもしれません。しかし2008Serverだと、隠蔽したとしても欲しいDFSの機能があります。それはレプリケーションの機能です。これをやっておくとDFSROOTに同様のアクセス権限を設定した複数の共有フォルダをメンバーとしたDFSを登録し、レプリケーションを設定しておくと、その複数の共有フォルダ間で変更が同期され、片方の共有が障害で落ちても社員に意識させることなく、もう片方で業務を継続できるはずなのです。まだ実験中なのですが、うまくいけば今までツールで一方向同期させていたのをDFSによるレプリケーションに変えようかと思います。レプリケーションは帯域制限も可能で時間帯・曜日によって使用する帯域を指定することも可能です。