Как скрыть общие папки, к которым у пользователя нет доступа

Все об администрировании Windows NT/2000/2003/2008/2012 Server (в т.ч. R2) серверов. Групповые политики, домены, безопасность и пр. То, чего не найдешь в бескрайних просторах Интернета. Решения тех проблем, которые не решаются типовыми ответами, которые можно получить в техподдержке Майкрософта - а именно: переустановить продукт или купить какой-ть другой лицензионный диск.


Модератор: UncleFather

Аватара пользователя
UncleFather
Site Admin
Сообщения: 1503
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Как скрыть общие папки, к которым у пользователя нет доступа

Сообщение UncleFather »

Проблема:

Общеизвестно, что Windows показывает пользователям ВСЕ файлы и папки из общих папок, несмотря на то, что некоторым из них у пользователя все равно нет доступа. Пользователь пытается открыть папки с запрещенным доступом и у него возникают вопросы - "а почему у меня к этой папке нет доступа?". Некоторые же "продвинутые" пользователи пытаются "взломать" доступ.

Так вот, чтобы не возникало таких вопросов и попыток взлома, хотелось бы скрыть из общих ресурсов папки и файлы к которым у пользователя нет доступа. То есть нужно сделать так, чтобы каждый пользователь видел ТОЛЬКО то, что ему разрешено видеть.

Решение:

Для этого предназначен функционал Access-based Enumeration (ABE), который позволяет решить проблему избыточного отображения файлов и папок на сетевых ресурсах, к которым у конечного пользователя все равно нет доступа.

После активации ABE сервер начинает проверять права пользователя на ресурсы ДО ТОГО, как высылает клиенту список имеющихся в общей папке ресурсов. Соответственно, в список попадают только те файлы и папки, которые пользователь может открыть, и ничего лишнего пользователь больше не видит.

Функционал Access-based Enumeration (ABE) уже встроен в Windows 2008 R2 Server.

Чтобы включить этот функционал на Windows 2008 R2 Server:

  1. Заходим в Панель управления -> Администрирование -> Управление общими ресурсами и хранилищами:

    01.JPG
  2. Выбираем желаемый сетевой ресурс -> свойства

    02.JPG
  3. На вкладке "Доступ", открываем "Дополнительно" и ставим галочку "Включить перечисление на основе доступа" (Server Manager -> Roles -> File Services -> Share and Storage Management -> свойства шары -> Advanced) -> ставим галочку )Enable Access-Based Enumeration):

    03.JPG

У Windows 2003 R2 Server такого встроенного функционала нет

однако Microsoft выпустила дополнение для возможности использования Access-based Enumeration (ABE), скачать которое можно отсюда или здесь:

Windows Server 2003 Access-based Enumeration.rar
(473.11 КБ) 898 скачиваний

После установки пакета ABEUI.msi, в свойствах папки появляется дополнительная вкладка "Access-based Enumeration", на которой можно включить ABE для этой папки, установив галочку )Enable Access-Based Enumeration.

Так же можно применить настройки ABE этой папки для всех расшаренных ресурсов данного компьютера, установив галочку "Apply this folder's setting to all existing shared folders on this computer"

04.JPG

Клиентские OS (XP, Vista, 7 и 8) Microsoft также прекрасно поддерживают ABE.

Чтобы его включить, необходимо воспользоваться утилитой abecmd.exe, потому что никаких вообще средств настройки ABE на клиентах нет.

Поскольку пакет управления ABE для Windows Server 2003 на Windows Vista / 7 не устанавливается, сначала устанавливаем его на Windows Server 2003. Затем с сервера из папки %systemroot%\system32 копируем утилиту abecmd.exe на клиента уже в локальную папку %systemroot%\system32. 32-разрядная утилита abecmd.exe прекрасно работает на 64-разрядных системах. Скачать abecmd.exe[/i] можно отсюда:

abecmd.rar
(16.13 КБ) 947 скачиваний

Очень хорошо функционал Access-based Enumeration (ABE) описан здесь


Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Мои странички:
ВКонтакте
Одноклассники
Youtube
Facebook
Instagram

Изображение
Изображение
Изображение
Изображение