технология достъп-базиран изброяване (ABE - Прехвърляне на базата на достъп) ви позволява да скриете файлове и папки от потребители в споделени мрежови ресурси (топки), до които те нямат права за достъп за четене на ниво NTFS. По този начин е възможно да се осигури допълнителна конфиденциалност на данните, съхранявани в мрежовата директория (чрез скриване на структурата и имената на директории и файлове), да се подобри използваемостта за потребителя, на когото няма да бъде показана допълнителна информация по време на работа с мрежовата директория (особено след като той има цялата еднакво отсъства) и най-важното - ние ще защитим системния администратор от постоянни потребителски въпроси "защо не ме пуска в тази папка!!Нека опитаме да разберем по-подробно тази технология и характеристиките на нейната конфигурация и използване в различни версии на Windows.
Съдържание:
- Характеристики на достъпа до споделените мрежови папки на Windows
- Ограничения за изброяване на базата на достъп
- Използване на ABE в Windows Server 2008/2008 R2
- Конфигурирайте изброяване въз основа на достъп на Windows Server 2012 R2 / 2016
- Конфигурирайте изброяване въз основа на достъп на Windows Server 2003
- Управление на ABE от командния ред
- Управление на изброяването на базата на достъп с PowerShell
- Изброяване на базата на достъп в Windows 10 / 8.1 / 7
Характеристики на достъпа до споделените мрежови папки на Windows
Един от недостатъците на мрежовите папки на Windows е фактът, че по подразбиране всички потребители, когато преглеждат съдържанието на споделена папка, биха могли поне да видят нейната структура и списък на съдържащите се в нея файлове и директории, включително тези, до които е достъпно на ниво NTFS те липсват (когато се опитате да отворите такъв файл или папка, потребителят получава грешка в достъпа "Достъпът е отказан / достъп ОтказанЗащо да не скриете от потребителя тези директории и файлове, до които той все още няма достъп? Технологията трябва да помогне в тази задача достъп базиран изброяване (ABE). Като активирате ABE в споделена папка на мрежата, можете да гарантирате, че различните потребители виждат различен списък от директории и файлове в един и същ мрежов дял, въз основа на индивидуални права за достъп на потребителите до тези папки (ACL).
Как се осъществява взаимодействието между клиента и сървъра при достъп до споделената папка:
- Клиентът се свързва със сървъра с искане за достъп до интересуващата го директория в папката на споделената мрежа;
- офис Lanman сървър на сървъра проверява дали потребителят има права за достъп до тази директория на ниво разрешение на файловата система NTFS;
- Ако е разрешен достъп (преглед на съдържание / четене / запис), потребителят вижда списък на съдържанието на директория;
- Тогава потребителят може да отвори определен файл или подпапка по същия начин (можете да видите кой е отворил определен файл в мрежова папка като този). Ако няма достъп до папката, потребителят получава известие.
От тази диаграма става ясно, че сървърът първо показва на потребителя цялото съдържание на папката и проверява правата за достъп до конкретен обект само след опит за достъп до съдържанието му.
Изброяване въз основа на функционалността (ABE) ви позволява да внедрите контрол на достъпа върху обекти на файловата система за за това как списъкът на съдържанието на папката се изпраща на потребителя. Следователно, само тези обекти, върху които потребителят има поне права, ще попаднат в окончателния списък Прочетете на ниво NTFS и всички недостъпни ресурси просто не се показват (скрити).
Т.е. потребител на един отдел (например склад) в същата мрежова директория (\\ filesrv1 \ docs) ще види един списък с папки и файлове. Както можете да видите, потребителят показва само две папки: Public и Sklad.
Потребителите на друг отдел, като например ИТ (които са включени в друга група за сигурност на Windows), показват различен списък от поддиректории. Освен директориите Public и Sklad, в мрежовата папка за потребителски данни се виждат още 6 директории.
Основният недостатък на използването на ABE на файлови сървъри - допълнително зареждане на сървъра. Това може да се усети особено при силно заредени файлови сървъри. Колкото по-голям е броят на обектите в директорията, която се гледа и колкото повече потребители отварят файлове в нея, толкова по-голямо закъснение. Според Microsoft, ако има 15 000 обекта (файлове и директории) в показаната директория, скоростта на отваряне на папка се забавя с 1-3 секунди. Ето защо при проектирането на структурата на споделените папки се препоръчва да се обърне голямо внимание на създаването на ясна и йерархична структура на подпапки, като в този случай забавянето на скоростта на отваряне на директории ще бъде невидимо.
забележка. Трябва да се разбере, че Изброяването на базата на достъп не крие от потребителя списъка на споделените мрежови ресурси (топката) на файловия сървър, а действа само по отношение на тяхното съдържание. Ако искате да скриете мрежовата папка от потребителя, добавете символа в края на името на споделената папка $.Можете да контролирате ABE от командния ред (помощна програма) abecmd.Търсейки), от GUI, PowerShell или чрез специален API.
Ограничения за изброяване на базата на достъп
Изброяването на базата на достъп в Windows не работи в случаите:
- Ако Windows XP или Windows Server 2003 без Service Pack се използва като файлов сървър;
- Когато преглеждате директории локално (директно от сървъра). Например, потребител, който се свързва към RDS сървър, ще вижда всички локални папки, ако този сървър се използва и като файлов сървър);
- За членове на групата администратори на локален файлов сървър (те винаги виждат пълния списък с файлове).
Използване на ABE в Windows Server 2008/2008 R2
В Windows Server 2008 / R2, за да използвате функционалността достъп базиран изброяване не трябва да се инсталират допълнителни компоненти, като Управлението на функционалността на ABE вече е интегрирано в GUI на Windows. За да активирате изброяване на базата на достъп за конкретна папка в Windows Server 2008/2008 R2, отворете конзолата за управление mmc Управление на споделяне и съхранение (Старт -> Програми -> Административни инструменти -> Управление на споделяния и съхранение). Отидете до прозореца със свойствата на желаните топки. След това отидете на прозореца за разширени настройки (бутон напреднал) и активирайте опцията Активиране на изброяване въз основа на достъп.
Конфигурирайте изброяване въз основа на достъп на Windows Server 2012 R2 / 2016
Настройката на ABE в Windows Server 2012 R2 / 2016 също е лесна. За да активирате достъп базиран изброяване първо трябва естествено да инсталирате ролята файлов сървър (Услуги за съхранение на файлове и файлове), и след това в конзолата на Server Manager отидете до свойствата на публичната папка.
И в раздела Настройки опция за активиране Активиране на изброяване въз основа на достъп.
Конфигурирайте изброяване въз основа на достъп на Windows Server 2003
В Windows Server 2003 (преустановено) технологията ABE се поддържа оттогава Service Pack1. За да активирате изброяване на базата на достъп в Windows Server 2003 SP1 (и по-нова версия), трябва да изтеглите и инсталирате пакета _http: //www.microsoft.com/en-us/download/details.aspx? Id = 17510. По време на инсталационния процес трябва да определите дали автоматично да активирате ABE за всички споделени папки на сървъра или дали конфигурирането ще се извършва поотделно. Ако е избран вторият елемент, след инсталирането на пакета ще се появи нов раздел Изброяване, базирано на достъп в свойствата на споделените папки.
За да активирате ABE за конкретна папка, активирайте опцията в нейните свойства Активиране на изброяване въз основа на достъп в тази споделена папка.
Също така имайте предвид, че Windows 2003 поддържа използването на базирано на DFS достъпа изброяване, но можете да го конфигурирате само от командния ред, като използвате помощната програма cacls.
Управление на ABE от командния ред
Настройките за изброяване на базата на достъп могат да бъдат контролирани от командния ред с помощта на помощната програма Abecmd.exe. Тази помощна програма е включена в пакета за изброяване на базата на достъп за Windows Server 2003 SP1 (връзка по-горе).
полезност Abecmd.Търсейки ви позволява да активирате ABE незабавно за всички директории или лично. Следващата команда ще даде възможност за изброяване въз основа на достъп веднага за цялата топка:
abecmd / enable / all
Или за конкретна папка (например топки с името Документи):
abecmd / активиране на документи
Управление на изброяването на базата на достъп с PowerShell
За да контролирате настройките за изброяване на базата на достъп за конкретни папки, можете да използвате модула PowerShell SMBShare (инсталиран по подразбиране в Windows 10 / 8.1 и Windows Server 2016/2012 R2). Списък на свойствата на конкретна мрежова папка:
Get-SmbShare Install | fl *
Отбележете стойността на атрибута FolderEnumerationMode. В нашия случай неговата стойност - неограничен. Това означава, че ABE е деактивиран за тази папка..
Можете да проверите състоянието на ABE за всички мрежови папки на сървъра:
Get-SmbShare | Select-Object Name, FolderEnumerationMode
За да активирате ABE за папка, направете:
Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased
Можете да активирате изброяване въз основа на достъп за всички публикувани мрежови папки (включително административна топка ADMIN $, C $, E $, IPC $), направете:
Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased
За да деактивирате ABE, направете:
Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode Неограничен
Изброяване на базата на достъп в Windows 10 / 8.1 / 7
Много потребители, особено в домашните мрежи, също биха искали да могат да използват функцията за изброяване на базата на достъп. Проблемът е, че на клиентската операционна система на Microsoft липсва както графичен, така и интерфейс за управление на изброяване, базиран на команди.
В Windows 10 (Server 2016) и Windows 8.1 (Server 2012R2) можете да използвате PowerShell за контрол на изброяване въз основа на достъп (вижте раздела по-горе). В по-старите версии на Windows трябва да инсталирате последната версия на PowerShell (> = 5.0) или да използвате помощната програма abecmd.exe от пакета за Windows Server 2003, тя работи добре и на клиентската ОС. защото пакетът за изброяване, базиран на достъп за Windows Server 2003, не е инсталиран в Windows 10 / 8.1 / 7, първо трябва да го инсталирате на Windows Server 2003 и след това да го копирате от директорията C: \ windows \ system32 в същата директория на клиента. След това можете да активирате ABE според скрипта с описания по-горе команден ред.
забележка. В корпоративна среда ABE прекрасно работи с папки DFS, криейки "ненужни" папки от потребителя и осигурявайки по-удобна структура на обществено дърво на папки. Можете да активирате ABE в пространството на имена DFS с помощта на конзолата за управление на DFS или помощната програма dfsutil.exe:dfsutil свойство abde enable \\
Освен това можете да активирате ABE на компютри с домейн AD, като използвате групови правила. GPP се използва за това в раздела: Компютърна конфигурация -> Предпочитания -> Настройки на Windows -> Мрежови дялове).
Както виждате, има опция в свойствата на мрежовата папка достъп-базиран изброяване, ако промените стойността на Enable, режимът ABE ще бъде активиран за всички публични папки, създадени с помощта на този GPO.