Skrivanje mapa nedostupnih korisniku pomoću enumeracije temeljenog na pristupu (ABE) u sustavu Windows Server

tehnologija pristup-zasnovan nabrajanje (ABE - Prijenos temeljen na pristupu) omogućuje vam da sakrijete datoteke i mape od korisnika na zajedničkim mrežnim resursima (kuglicama) na koje oni nemaju prava pristupa za čitanje na razini NTFS. Tako je moguće pružiti dodatnu povjerljivost podataka pohranjenih u mrežnom imeniku (sakrivanjem strukture i imena direktorija i datoteka), poboljšati upotrebljivost za korisnika kojem se neće prikazivati ​​dodatne informacije tijekom rada s mrežnim direktorijom (posebno pristup kojem on ima sve podjednako odsutni) i što je najvažnije, zaštitit ćemo administratora sustava od stalnih pitanja korisnika "zašto me ne pusti u ovu mapu!!Pokušajmo detaljnije razumjeti ovu tehnologiju i značajke njezine konfiguracije i upotrebe u raznim verzijama sustava Windows.

sadržaj:

  • Značajke pristupa zajedničkim mrežnim mapama sustava Windows
  • Ograničenja nabrajanja na temelju pristupa
  • Korištenje ABE-a u sustavu Windows Server 2008/2008 R2
  • Konfigurirajte popis na bazi pristupa na Windows Server 2012 R2 / 2016
  • Konfiguriranje broja na temelju pristupa na Windows Server 2003
  • Upravljanje ABE iz naredbenog retka
  • Upravljanje nabrajanja na temelju pristupa pomoću PowerShell-a
  • Popis na bazi pristupa na Windows 10 / 8.1 / 7

Značajke pristupa zajedničkim mrežnim mapama sustava Windows

Jedan od nedostataka mrežnih mapa sustava Windows jest činjenica da su, prema zadanim postavkama, svi korisnici prilikom pregledavanja sadržaja zajedničke mape mogli barem vidjeti njezinu strukturu i popis datoteka i mapa koje se nalaze u njoj, uključujući one kojima je pristupio na razini NTFS. one nedostaju (kada pokušate otvoriti takvu datoteku ili mapu, korisnik prima pogrešku u pristupu "Pristup je odbijen / pristup odbijen") Pa zašto onda ne sakriti od korisnika one direktorije i datoteke do kojih on još uvijek nema pristup? Tehnologija bi trebala pomoći u ovom zadatku. pristup zasnovan nabrajanje (ABE). Omogućivanjem ABE-a u zajedničkoj mrežnoj mapi, možete osigurati da različiti korisnici vide različit popis direktorija i datoteka u istom mrežnom udjelu, na temelju pojedinačnih korisničkih prava pristupa tim mapama (ACL-ovi).

Kako dolazi do interakcije između klijenta i poslužitelja prilikom pristupa zajedničkoj mapi:

  • Klijent kontaktira poslužitelj sa zahtjevom za pristup direktoriju koji ga zanima u mapi zajedničke mreže;
  • ured Lanman server na poslužitelju provjerava ima li korisnik prava pristupa ovom direktoriju na razini dozvole NTFS datotečnog sustava;
  • Ako je pristup dopušten (prikaz sadržaja / čitanje / pisanje), korisnik vidi popis sadržaja u imeniku;
  • Tada korisnik na isti način može otvoriti određenu datoteku ili podmapu (možete vidjeti tko je otvorio određenu datoteku u mrežnoj mapi poput ove). Ako nema pristup mapi, korisnik dobiva obavijest.

Iz ovog dijagrama jasno je da poslužitelj prvo prikazuje korisniku cjelokupni sadržaj mape, a provjerava prava pristupa određenom objektu tek nakon pokušaja pristupa njegovom sadržaju.

Nabrojanje na temelju funkcionalnosti (ABE) omogućava vam provođenje kontrole pristupa na objektima datotečnog sustava u načina na koji se popis sadržaja mape šalje korisniku. Stoga će samo oni objekti na koje korisnik ima najmanje prava spadati u konačni popis Pročitajte na razini NTFS, a svi nepristupačni resursi jednostavno se ne prikazuju (skrivaju).

tj korisnik jednog odjela (na primjer, skladište) u istoj mrežnoj mapi (\\ filesrv1 \ docs) vidjet će jedan popis mapa i datoteka. Kao što vidite, korisnik prikazuje samo dvije mape: Public i Sklad.

Korisnici drugog odjela, poput IT-a (koji su uključeni u drugu sigurnosnu skupinu sustava Windows), prikazuju drugačiji popis poddirektorija. Pored javnih i Sklad direktorija, u mrežnoj mapi za korisničke podatke vidljivo je još 6 direktorija.

Glavni nedostatak korištenja ABE na datotečnim poslužiteljima - dodatno učitavanje poslužitelja. To se posebno može osjetiti na visoko učitanim datotečnim poslužiteljima. Što je veći broj objekata u direktoriju koji se pregledava i što više korisnika otvori datoteke na njemu, to je veće kašnjenje. Prema Microsoftu, ako u prikazanom direktoriju postoji 15.000 objekata (datoteka i direktorija), brzina otvaranja mape usporava se za 1-3 sekunde. Zato se prilikom dizajniranja strukture zajedničkih mapa preporučuje velika pažnja stvoriti jasnu i hijerarhijsku strukturu podmapa, u kojem će slučaju usporavanje brzine otvaranja mapa biti nevidljivo.

primjedba. Treba imati na umu da Popisivanje na temelju pristupa ne krije od korisnika popis zajedničkih mrežnih resursa (lopta) na datotečnom poslužitelju, već djeluje samo u odnosu na njihov sadržaj. Ako želite sakriti skrivenu mrežnu mapu od korisnika, na kraj naziva zajedničke mape dodajte simbol $.

ABE možete upravljati iz naredbenog retka (uslužni program) abecmd.eXE), iz GUI-ja, PowerShell-a ili preko posebnog API-ja.

Ograničenja nabrajanja na temelju pristupa

Popisivanje na temelju pristupa ne radi u slučajevima:

  1. Ako se Windows XP ili Windows Server 2003 bez servisnog paketa koristi kao datotečni poslužitelj;
  2. Pri lokalnom gledanju direktorija (izravno s poslužitelja). Na primjer, korisnik koji se povezuje na RDS poslužitelj vidjet će sve lokalne mape ako se ovaj poslužitelj koristi i kao poslužitelj datoteka);
  3. Za članove grupe administratora lokalnog poslužitelja datoteka (uvijek vide puni popis datoteka).

Korištenje ABE-a u sustavu Windows Server 2008/2008 R2

Za korištenje funkcionalnosti u sustavu Windows Server 2008 / R2 pristup zasnovan nabrajanje ne trebaju biti instalirane dodatne komponente kao ABE upravljanje funkcionalnošću već je integrirano u Windows GUI. Da biste omogućili nabrajanje na bazi pristupa za određenu mapu u sustavu Windows Server 2008/2008 R2, otvorite upravljačku konzolu mmc Upravljanje udjelom i skladištenjem (Start -> Programi -> Administrativni alati -> Upravljanje dijeljenjem i pohranom). Otvorite prozor s svojstvima željenih kuglica. Zatim idite na prozor naprednih postavki (gumb) napredan) i omogućiti opciju Omogući nabrajanje na temelju pristupa.

Konfigurirajte popis na bazi pristupa na Windows Server 2012 R2 / 2016

Postavljanje ABE-a u sustavu Windows Server 2012 R2 / 2016 je također jednostavno. Da se omogući pristup zasnovan nabrajanje prvo se morate prirodno instalirati uloga poslužitelj datoteka (Usluge datoteka i pohrane), a zatim u konzoli Upravitelja poslužitelja idite na svojstva javne mape.

I u odjeljku postavke opcija Omogući nabrajanje na temelju pristupa.

Konfiguriranje broja na temelju pristupa na Windows Server 2003

U sustavu Windows Server 2003 (ukinut), od tada je podržana ABE tehnologija Servisni paket1. Da biste omogućili nabrajanje na bazi pristupa u Windows Server 2003 SP1 (i noviji), morate preuzeti i instalirati _http paket: //www.microsoft.com/en-us/download/details.aspx? Id = 17510. Tijekom postupka instalacije morate odrediti želite li automatski omogućiti ABE za sve zajedničke mape na poslužitelju ili će se konfiguracija zasebno provoditi. Ako je odabrana druga stavka, nakon instaliranja paketa pojavit će se nova kartica Nabrojanje na temelju pristupa u svojstvima dijeljenih mapa.

Da biste aktivirali ABE za određenu mapu, omogućite opciju u njenim svojstvima Omogući nabrajanje na ovoj pristupnoj mapi.

Također imajte na umu da Windows 2003 podržava upotrebu zasnovano na DFS pristupanju na bazi pristupa, no možete ga konfigurirati samo iz naredbenog retka pomoću uslužnog programa cacls.

Upravljanje ABE iz naredbenog retka

Postavkama popisa na temelju pristupa može se upravljati iz naredbenog retka pomoću uslužnog programa Abecmd.exe. Ovaj je uslužni program uključen u paket Popis na bazi pristupa za Windows Server 2003 SP1 (poveznica iznad).

korisnost Abecmd.eXE omogućava vam da odmah aktivirate ABE za sve direktorije ili osobno. Sljedeća naredba omogućit će trenutno nabrajanje na bazi pristupa za svu loptu:

abecmd / enable / sve

Ili za određenu mapu (na primjer, kuglice s nazivom Dokumenti):

abecmd / enable dok

Upravljanje nabrajanja na temelju pristupa pomoću PowerShell-a

Za kontrolu postavki nabrajanja na temelju pristupa za određene mape možete koristiti PowerBShell SMBShare modul (instaliran prema zadanim postavkama u sustavima Windows 10 / 8.1 i Windows Server 2016/2012 R2). Navedite svojstva određene mrežne mape:

Instalacija Get-SmbShare | fl *

Zabilježite vrijednost atributa FolderEnumerationMode. U našem slučaju njegova vrijednost - neograničen. To znači da je ABE onemogućen za ovu mapu..

Možete provjeriti status ABE za sve mrežne mape poslužitelja:

Get-SmbShare | Select-Object Name, FolderEnumerationMode

Da biste omogućili ABE za mapu, učinite:

Instalacija Get-SmbShare | Set-SmbShare -FolderEnumerationMode Pristupan

Možete omogućiti nabrajanje na bazi pristupa za sve objavljene mrežne mape (uključujući administrativni bal ADMIN $, C $, E $, IPC $):

Instalacija Get-SmbShare | Set-SmbShare -FolderEnumerationMode Pristupan

Da biste onemogućili ABE, učinite:

Instalacija Get-SmbShare | Set-SmbShare -FolderEnumerationMode Neograničeno

Popis na bazi pristupa na Windows 10 / 8.1 / 7

Mnogi korisnici, posebno u kućnim mrežama, također bi željeli koristiti funkciju Popisivanja na temelju pristupa. Problem je što Microsoftovom OS-u za klijente nedostaje grafičko i sučelje za upravljanje enumeracijom na osnovi naredbi.

U sustavima Windows 10 (Server 2016) i Windows 8.1 (Server 2012R2) možete koristiti PowerShell za kontrolu nabrajanja na temelju pristupa (pogledajte odjeljak gore). U starijim verzijama sustava Windows morate instalirati najnoviju verziju PowerShell-a (> = 5.0) ili upotrijebiti uslužni program abecmd.exe iz paketa za Windows Server 2003, on također dobro funkcionira i na klijentskom OS-u. jer paket Enumeration temeljen na sustavu Windows Server 2003 nije instaliran na Windows 10 / 8.1 / 7, prvo ćete ga morati instalirati na Windows Server 2003, a zatim ga kopirati iz direktorija C: \ windows \ system32 u isti direktorij na klijentu. Nakon toga možete omogućiti ABE prema skripti s gore opisanom naredbenom vrstom.

primjedba. U korporativnom okruženju ABE izvrsno surađuje s DFS mapama, skrivajući nepotrebne mape od korisnika i pružajući prikladniju strukturu stabla javnih mapa. Možete omogućiti ABE na prostoru imena DFS pomoću konzole za upravljanje DFS ili uslužnog programa dfsutil.exe:
dfsutil svojstvo abde enable \\

Osim toga, možete omogućiti ABE na računalima domene AD koristeći grupna pravila. GPP koristi se za to u odjeljku: Konfiguracija računala -> Postavke -> Postavke sustava Windows -> Mrežne dionice).

Kao što vidite, u svojstvima mrežne mape postoji opcija pristup-zasnovan nabrajanje, ako promijenite vrijednost na Omogući, način ABE bit će omogućen za sve javne mape kreirane pomoću ovog GPO-a.