Basta definir os usuários Traverse Directory
apenas em \\ dc1 \ bank e eles só poderão navegar no diretório. Se você não der a eles List Folder/Read Data
, eles nem poderão ver nada nela.
Depois, dê a eles todas as permissões necessárias em \\ fs1 \ folder1 e mapeie-os para os usuários, como normalmente faria (GPO, script de logon, email, etc.). O modelo de segurança é idêntico a como você resolveria esse problema sem o DFS.