非ドメインコンピュータがドメイン共有リソースにアクセスするのを防ぐ方法は？

私の会社ではドメインコントローラーとファイル共有にWindows Server 2008 R2を使用しており、すべてのクライアントコンピューターにWindows 7 Professionalがインストールされています。一部のクライアントコンピューターは、共有リソースにアクセスして連携することを目的としてドメインに追加されていますが、他のクライアントコンピューターは他の用途のためにドメインに追加されていません。また、ドメインコンピュータは、ファイアウォールソフトウェアによってインターネットから制限されています。各従業員は独自のドメインユーザーアカウントとパスワードを持っており、ドメインクライアントコンピューターにログオンすると、「ネットワークドライブのマップ」または「ネットワークの場所の追加」によって共有ファイル（\ domain_ip_address\folder_sharenameなど）にアクセスできます。サーバー上で指定された彼自身の権限を持つ。

アクセス許可の構成に関しては、私が理解している限り、共有アクセス許可とNTFSアクセス許可が連携して、結果のアクセス許可を決定します。より制限の厳しいアクセス許可が有効になります。そのため、一般的なアドバイスと同じように、各ドメインユーザーアカウントのフォルダーに共有アクセス許可Everyone：フルコントロールおよびそれぞれのNTFSアクセス許可を指定しました。

すべてが非常にうまくいったようでした。また、コンピューターをドメインに追加しないと、ドメイン共有リソースに絶対にアクセスできないと誤解していました。

数日前、非ドメインコンピューターで、「ネットワークドライブのマッピング」と「ネットワークの場所の追加」を試し、資格情報の入力を求められ、ドメインユーザーアカウントの1つを「domain_name\domain_user_account」+「password」の形式で、共有フォルダーに正常にアクセスし、ショックを受けました。

私の目的は、ドメインに追加されたコンピューターのみがドメイン共有リソースにアクセスできるようにすることです。次に、フォルダーの共有アクセス許可の設定で、削除しました全員：フルコントロール、および追加ドメインコンピュータ：フルコントロール。しかし、その結果は次のとおりです。ドメインコンピュータでも、ドメインユーザーアカウントはアクセスできません。NTFSアクセス許可を完全に制御できるドメインユーザーアカウントもアクセスできません。

私の質問：

1.なぜ私がこの予期しない（少なくとも私にとっては）結果を得たのか誰かに教えてもらえますか？つまり、共有アクセス許可ドメインコンピューター：フルコントロールドメインコンピューターを使用するフルコントロールNTFSアクセス許可を持つドメインユーザーでさえ共有リソースにアクセスできないのはなぜですか？誰かが共有またはNTFSアクセス許可でドメインコンピュータを正常に使用したことがありますか？

2.どうすれば改善できますか？現在のサーバー設定で大きな手術が行われることは望んでいません。

---------------------更新2015-10-28 ----------------------- --------------------

2台のサーバーのセットアップについて詳しく説明します。率直に言って、私はITの専門家ではなく、2台のサーバーは私の友人によって構築されました。どちらもWindows Server 2008 R2と共にインストールされました。

1つ目はserver_Aで、ドメインコントローラ、DHCPサーバーとして機能し、共有するファイルを保存します。

2番目のserver_Bは、DNSサーバーとして機能し、主にどのクライアントデバイスがインターネットにアクセスできるかを制御するためにThreat Management Gateway 2010（TMG2010）とともにインストールされます。