Как скрыть папки недоступные пользователю в windows server 2012

Access-Based Enumeration (ABE, перечисление на основе доступа) это опция файлового сервера Windows, которая позволяет скрыть от пользователя файлы и папки, к которым у него доступа. Это позволяет скрыть структуру каталогов и имена папок и файлов в общей сетевой папке.

Как включить Access Based Enumeration в Windows Server

Рассмотрим сценарий, когда на файловом сервере Windows есть некая общая сетевая папка с каталогами нескольких отделов. Все пользователи могут просматривать список директорий в этой папке (для этого на корневую папку даны права List folder или Traverse folder для группы Users). Но пользователи могут зайти только в каталоги, в списки доступа NTFS которых они добавлены.

Предположим, пользователь добавлен в группы доступа AD, назначенные на 2 каталога Public и Salary.

Группы безопасности AD добавлены в NTFS разрешения соответствующих подкаталогов в общей папки. Из ACL убраны разрешения, дающие доступ к подпапкам для групп Domain Users или Builtin\Users.

Чтобы включить ABE, откройте консоль Server Manager -> выберите роль File and Storage Services -> Shares. Отройте свойства общей папки и на вкладке Settings включите опцию Enable access-based enumeration.

Картинка с сайта: winitpro.ru

Обновите содержимое общей папки у пользователя. Теперь пользователеь видит только два каталога, к которым ему предоставлен доступ. Оставшиеся папки скрыты от пользователя.

Картинка с сайта: winitpro.ru

Кроме того, вы можете включать ABE на компьютерах домена AD с помощью групповых политик. Для этого используется GPP в секции: Computer Configuration -> Preferences -> Windows Settings -> Network Shares).

Картинка с сайта: winitpro.ru

Если включить опцию Access-Based Enumeration, то для сетевой папки, опубликованной с помощью данной GPO, будет включен режим ABE.

Управление Access Based Enumeration из командной строки (PowerShell)

Можно включить ABE для сетевой папки из командной строки PowerShell.

Это в том числе позволяет включить Access-Based enumeration для сетевых папок, опубликованных на обычных рабочих станциях с десктопными версиями Windows 10 и 11.

Например, чтобы включить режим перечисления для общей папка с именем Docs, выполните команду:

Get-SmbShare Docs | Set-SmbShare -FolderEnumerationMode AccessBased

Вывести список опубликованных сетевых папок (включая общие административные папки Windows) и статус опции ABE:

Get-SmbShare | Select-Object Name,FolderEnumerationMode

Значение FolderEnumerationMode =
AccessBased
указывает, что Access Based-enumeration для них включен.

Картинка с сайта: winitpro.ru

Отключить ABE для папки:

Get-SmbShare Docs | Set-SmbShare -FolderEnumerationMode Unrestricted

hide unreadable = Yes
access based share enum = Yes

В корпоративной среде ABE часто применяется для папок DFS, скрывая от пользователей «ненужные» папки и предоставляя более удобную структуру дерева общих папок. Включить ABE на пространстве имен DFS можно с помощью консоли DFS Management или утилиты dfsutil.exe:
dfsutil property abde enable \\<namespace root>

Другие особенности и ограничений Access-based Enumeration в Windows

• Включение ABE на файловых серверах может увеличить нагрузку на сервер. Особенно заметна будет задержка отображения списка файлов в каталогах, которые содержат тысячи файлов (например, при наличии 15000 объектов в общей папке, скорость ее открытия замедлится на 1-3 секунды).
• ABE не работает при локальном просмотре каталогов на сервере.
• Члены локальной группы администраторов файлового сервера всегда видят полный список объектов в сетевой папке.

Если у Вас на сервере Windows Server, есть расшаренная папка, в которой есть множество других папок, при этом доступ к ним распределяется на уровне NTFS прав и вам необходимо скрыть недоступные конкретному пользователю папки, то данный метод Вам подойдет

К примеру расшарена у вас папка \\server\folders\ пользователь видит все папки находящиеся в ней:

Картинка с сайта: sky-rzn.ru

Это список папок, доступных пользователям. Нам требуется скрыть недоступные, конкретным пользователям. Для этого на сервер запускаем оснастку storagemgmt.msc. Заходим в свойства шары, нажимаем Advanced и ставим гапочку Access based enumeration. Выглядит это примерно так:

Картинка с сайта: sky-rzn.ru

������� � ������

Проблема:

Общеизвестно, что Windows показывает пользователям ВСЕ файлы и папки из общих папок, несмотря на то, что некоторым из них у пользователя все равно нет доступа. Пользователь пытается открыть папки с запрещенным доступом и у него возникают вопросы — «а почему у меня к этой папке нет доступа?». Некоторые же «продвинутые» пользователи пытаются «взломать» доступ.

Так вот, чтобы не возникало таких вопросов и попыток взлома, хотелось бы скрыть из общих ресурсов папки и файлы к которым у пользователя нет доступа. То есть нужно сделать так, чтобы каждый пользователь видел ТОЛЬКО то, что ему разрешено видеть.

Решение:

Для этого предназначен функционал Access-based Enumeration (ABE), который позволяет решить проблему избыточного отображения файлов и папок на сетевых ресурсах, к которым у конечного пользователя все равно нет доступа.

После активации ABE сервер начинает проверять права пользователя на ресурсы ДО ТОГО, как высылает клиенту список имеющихся в общей папке ресурсов. Соответственно, в список попадают только те файлы и папки, которые пользователь может открыть, и ничего лишнего пользователь больше не видит.

Функционал Access-based Enumeration (ABE) уже встроен в Windows 2008 R2 Server.

Чтобы включить этот функционал на Windows 2008 R2 Server:

1. Заходим в Панель управления -> Администрирование -> Управление общими ресурсами и хранилищами:

   

   Картинка с сайта: manaeff.ru

2. Выбираем желаемый сетевой ресурс -> свойства

   

   Картинка с сайта: manaeff.ru

3. На вкладке «Доступ«, открываем «Дополнительно» и ставим галочку «Включить перечисление на основе доступа» (Server Manager -> Roles -> File Services -> Share and Storage Management -> свойства шары -> Advanced) -> ставим галочку )Enable Access-Based Enumeration):

   

   Картинка с сайта: manaeff.ru

У Windows 2003 R2 Server такого встроенного функционала нет

однако Microsoft выпустила дополнение для возможности использования Access-based Enumeration (ABE), скачать которое можно отсюда или здесь:

После установки пакета ABEUI.msi, в свойствах папки появляется дополнительная вкладка «Access-based Enumeration«, на которой можно включить ABE для этой папки, установив галочку )Enable Access-Based Enumeration.

Так же можно применить настройки ABE этой папки для всех расшаренных ресурсов данного компьютера, установив галочку «Apply this folder’s setting to all existing shared folders on this computer«

Клиентские OS (XP, Vista, 7 и Microsoft также прекрасно поддерживают ABE.

Чтобы его включить, необходимо воспользоваться утилитой abecmd.exe, потому что никаких вообще средств настройки ABE на клиентах нет.

Поскольку пакет управления ABE для Windows Server 2003 на Windows Vista / 7 не устанавливается, сначала устанавливаем его на Windows Server 2003. Затем с сервера из папки %systemroot%\system32 копируем утилиту abecmd.exe на клиента уже в локальную папку %systemroot%\system32. 32-разрядная утилита abecmd.exe прекрасно работает на 64-разрядных системах. Скачать abecmd.exe[/i] можно отсюда:

Очень хорошо функционал Access-based Enumeration (ABE) описан здесь