Access based enumeration windows server 2019

Содержание
  1. Enable access-based enumeration on a namespace
  2. To enable access-based enumeration by using the Windows interface
  3. To enable access-based enumeration by using a command line
  4. To control folder visibility by using the Windows interface
  5. To control folder visibility by using a command line
  6. How to Enable Access-Based Enumeration (ABE) on Windows Server?
  7. How does access to shared folders work in Windows?
  8. Access-Based Enumeration Restrictions
  9. Using ABE on Windows Server 2008/ 2008 R2
  10. Configuring Access-based Enumeration on Windows Server 2012 R2/ 2016
  11. Implementing Access-Based Enumeration on Windows Server 2003
  12. Managing ABE from the Command Prompt
  13. Managing Access Based Enumeration Using PowerShell
  14. Access-Based Enumeration in Windows 10 / 8.1 / 7
  15. Использование унаследованных разрешений с перечислением на основе доступа Using inherited permissions with Access-based Enumeration
  16. Преимущества и ограничения унаследованных разрешений Advantages and limitations of inherited permissions
  17. Использование унаследованных разрешений Using inherited permissions
  18. Переключение с явных разрешений на унаследованные разрешения To switch from explicit permissions to inherited permissions
  19. Включение перечисления на основе доступа для пространства имен Enable access-based enumeration on a namespace
  20. Включение перечисления на основе доступа с помощью интерфейса Windows To enable access-based enumeration by using the Windows interface
  21. Включение перечисления на основе доступа с помощью командной строки To enable access-based enumeration by using a command line
  22. Управление видимостью папки с помощью интерфейса Windows To control folder visibility by using the Windows interface
  23. Управление видимостью папки с помощью командной строки To control folder visibility by using a command line

Enable access-based enumeration on a namespace

Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008

Access-based enumeration hides files and folders that users do not have permissions to access. By default, this feature is not enabled for DFS namespaces. You can enable access-based enumeration of DFS folders by using DFS Management. To control access-based enumeration of files and folders in folder targets, you must enable access-based enumeration on each shared folder by using Share and Storage Management.

To enable access-based enumeration on a namespace, all namespace servers must be running Windows ServerВ 2008 or newer. Additionally, domain-based namespaces must use the Windows ServerВ 2008 mode. For information about the requirements of the Windows ServerВ 2008 mode, see Choose a Namespace Type.

In some environments, enabling access-based enumeration can cause high CPU utilization on the server and slow response times for users.

If you upgrade the domain functional level to Windows ServerВ 2008 while there are existing domain-based namespaces, DFS Management will allow you to enable access-based enumeration on these namespaces. However, you will not be able to edit permissions to hide folders from any groups or users unless you migrate the namespaces to the Windows ServerВ 2008 mode. For more information, see Migrate a Domain-based Namespace to Windows Server 2008 Mode.

To use access-based enumeration with DFS Namespaces, you must follow these steps:

Access-based enumeration does not prevent users from getting a referral to a folder target if they already know the DFS path. Only the share permissions or the NTFS file system permissions of the folder target (shared folder) itself can prevent users from accessing a folder target. DFS folder permissions are used only for displaying or hiding DFS folders, not for controlling access, making Read access the only relevant permission at the DFS folder level. For more information, see Using Inherited Permissions with Access-Based Enumeration

To enable access-based enumeration by using the Windows interface

Click the Advanced tab and then select the Enable access-based enumeration for this namespace check box.

To enable access-based enumeration by using a command line

Open a command prompt window on a server that has the Distributed File System role service or Distributed File System Tools feature installed.

Type the following command, where is the root of the namespace:

To manage access-based enumeration on a namespace by using Windows PowerShell, use the Set-DfsnRoot, Grant-DfsnAccess, and Revoke-DfsnAccess cmdlets. The DFSN Windows PowerShell module was introduced in Windows Server 2012.

You can control which users and groups can view individual DFS folders either by using the Windows interface or by using a command line.

To control folder visibility by using the Windows interface

In the console tree, under the Namespaces node, locate the folder with targets for which you want to control visibility, right-click it and then click Properties.

Click the Advanced tab.

Click Set explicit view permissions on the DFS folder and then Configure view permissions.

Add or remove groups or users by clicking Add or Remove.

To allow users to see the DFS folder, select the group or user, and then select the Allow check box.

To hide the folder from a group or user, select the group or user, and then select the Deny check box.

To control folder visibility by using a command line

Open a Command Prompt window on a server that has the Distributed File System role service or Distributed File System Tools feature installed.

Type the following command, where is the path of the DFS folder (link), is the name of the group or user account, and (. ) is replaced with additional Access Control Entries (ACEs):

For example, to replace existing permissions with permissions that allows the Domain Admins and CONTOSO\Trainers groups Read (R) access to the \contoso.office\public\training folder, type the following command:

To perform additional tasks from the command prompt, use the following commands:

Источник

How to Enable Access-Based Enumeration (ABE) on Windows Server?

Access-based Enumeration (ABE) allows to hide objects (files and folders) from users who don’t have NTFS permissions (Read or List) on a network shared folder in order to access them. Thus you can provide additional confidentiality of data stored in a shared folder (due to hiding the structure and names of folders and files), improve its usability since users won’t see odd data (they don’t have access to) and, what’s more important, save a system administrator from constant questions of users “Why I cannot access this folder. ”. Let’s try to consider this technology, configuration peculiarities and use of ABE in various Windows versions in details.

How does access to shared folders work in Windows?

One of the drawbacks of network shared folders technology in Windows is the fact that by default all users could at least see its structure and the list of all files and directories in such a folder including those that they don’t have NTFS permissions to access (when trying to open such file or folder, a user receives the error “Access Denied”). Why not to hide those files and folders from the users who don’t have permissions to access them? Access-based Enumeration can help doing it. By enabling ABE on a shared folder, you can ensure that different users see a different list of folders and files in the same network share based on the user’s individual access permissions (ACL).

Читайте также:  Midori для windows xp 32 bit

How does the interaction between the client and the server occurs when accessing a shared folder over the SMB?

According to this scheme, it becomes clear that the server firstly shows the entire contents of the folder to the user, and the NTFS permissions are checked only when the user tries to open a specific file or folder.

Access-based Enumeration (ABE) allows to check access permissions on file system objects before the user receives a list of the folder contents. So, the final list includes only those objects a user has NTFS permissions to access (at least read-only permission), and all inaccessible resources are simply not displayed (hidden).

It means that a user from one department (e.g. warehouse) will see one list of files and folders in a shared folder (\\filesrv1\docs). As you can see, only two folders are displayed for the user: Public and Warehouse.

And for a user from another department, e. g., IT department (which is included in another Windows security group), a different list of subfolders is shown. In addition to the Public and Warehouse directories, this user sees 5 more directories in the same network folder.

The main disadvantage of using ABE on the Windows file servers is the extra load on the server. It is especially prominent in high load file servers. The more objects there are in the viewed directory, and the more users open files on it, the longer the delay is. According to Microsoft, if there are 15,000 objects (files and directories) in the displayed folder, a folder is opening 1-3 seconds slower. That’s is why it is recommended to pay much attention to making a clear and hierarchical subfolder structure when designing a shared folder structure in order to make a delay when opening folders less evident.

You can manage ABE from the command prompt (abecmd.exe utility), from the GUI, PowerShell or a special API.

Access-Based Enumeration Restrictions

Access-based Enumeration on Windows doesn’t work in the following cases:

Using ABE on Windows Server 2008/ 2008 R2

Configuring Access-based Enumeration on Windows Server 2012 R2/ 2016

ABE configuration in the Windows Server 2012 R2 / 2016 is also very simple. To enable ABE in Windows Server 2012, you firstly have to install File and Storage Services role, and then go to the share properties in the Server Manager.

In Settings section check the option Enable access-based enumeration.

Implementing Access-Based Enumeration on Windows Server 2003

In Windows Server 2003 (not supported now), ABE became supported starting from Service Pack 1. To enable Access-based Enumeration in Windows Server 2003 SP1 (or later), you have to download and install a package following this link http://www.microsoft.com/en-us/download/details.aspx?id=17510. During installation you have to specify whether ABE will be enabled for all shared folders on your server or you’ll configure it manually. If you choose the second option, a new tab, Access-based Enumeration, will appear in the network share properties after the installation.

To activate ABE for a certain folder, check the option Enable access-based enumeration on this shared folder in its properties.

It’s important to mention that Windows 2003 supports DFS-based Access Based Enumeration, but it can be configured only from the command prompt using cacls.

Managing ABE from the Command Prompt

You can manage Access-based Enumeration settings from the command prompt using Abecmd.exe utility. This tool is a part of Access-based Enumeration package for Windows Server 2003 SP1 (see the link above).

Abecmd.exe allows to activate ABE for all directories at once or only for some of them. The next command enables Access-Based Enumeration for all shares:

This one is for a certain folder (e.g., a network shared folder with the name Docs):

abecmd /enable Docs

Managing Access Based Enumeration Using PowerShell

You can use the SMBShare PowerShell module (installed by default in Windows 10/ 8.1 and Windows Server 2016/2012 R2) to manage the settings of Access Based Enumeration for specific folders. Let’s list the properties of a specific shared folder:

Note the value of the FolderEnumerationMode attribute. In our case, its value is Unrestricted. This means that ABE is disabled for this folder.

You can check the status of ABE for all shared folders of the server:

Get-SmbShare | Select-Object Name,FolderEnumerationMode

To enable ABE for a specific folder:

You can enable Access Based Enumeration for all published network folders (including administrative shares ADMIN$, C$, E$, IPC$,…) by running the command:

To disable ABE use the command:

Access-Based Enumeration in Windows 10 / 8.1 / 7

Many users, especially in home or SOHO networks, also would like to use Access-Based Enumeration features. The problem is that Microsoft client OSs have neither graphical, nor command interface to manage Access-Based Enumeration.

In Windows 10 (Server 2016) and Windows 8.1 (Server 2012R2), you can use PowerShell to manage Access-based Enumeration (see the section above). In older versions of Windows, you need to install the latest version of PowerShell (>= 5.0) or use the abecmd.exe utility from the Windows Server 2003 package, it works fine on client OSs. Since the Windows Server 2003 Access-based Enumeration package is not installed on Windows 10, 8.1 or 7, you have to install it first on Windows Server 2003, and then copy it from the C:\windows\system32 directory to the same folder on the client. After that, you can enable ABE according with the commands described above.


In the properties of the network folder there is an Access-Based Enumeration option, if you change the value to Enable, ABE mode will be enabled for all shared folders created using this GPO.

Читайте также:  14e4 4365 windows 7 x32

Источник

Использование унаследованных разрешений с перечислением на основе доступа Using inherited permissions with Access-based Enumeration

Область применения: Windows Server 2019, Windows Server (половина ежегодного канала), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008

По умолчанию разрешения, используемые для папки DFS, наследуются от локальной файловой системы сервера пространства имен. By default, the permissions used for a DFS folder are inherited from the local file system of the namespace server. Разрешения наследуются от корневого каталога системного диска и предоставляют группе «Пользователи домена» \ разрешения на чтение. The permissions are inherited from the root directory of the system drive and grant the DOMAIN\Users group Read permissions. В результате даже после включения перечисления на основе доступа все папки в пространстве имен остаются видимыми всем пользователям домена. As a result, even after enabling access-based enumeration, all folders in the namespace remain visible to all domain users.

Преимущества и ограничения унаследованных разрешений Advantages and limitations of inherited permissions

Существует два основных преимущества использования унаследованных разрешений для управления тем, кто из пользователей может просматривать папки в пространстве имен DFS: There are two primary benefits to using inherited permissions to control which users can view folders in a DFS namespace:

Несмотря на преимущества, с унаследованными разрешениями в пространствах имен DFS связан ряд ограничений, которые делают их неприменимыми для большинства сред: Despite the benefits, inherited permissions in DFS Namespaces have many limitations that make them inappropriate for most environments:

При использовании унаследованных разрешений проще всего задать разрешения для корней пространства имен и папок без конечных объектов. When using inherited permissions, it is simplest to set permissions on namespace roots and folders without targets. Затем эти унаследованные разрешения можно использовать для папок с конечными объектами, чтобы они наследовали все разрешения от своих родителей. Then use inherited permissions on folders with targets so that they inherit all permissions from their parents.

Использование унаследованных разрешений Using inherited permissions

Чтобы ограничить круг пользователей, которые могут просматривать папку DFS, необходимо выполнить одну из следующих задач: To limit which users can view a DFS folder, you must perform one of the following tasks:

Перечисление на основе доступа не мешает пользователям переходить по ссылке на конечный объект папки, если они уже знают путь DFS папки с конечными объектами. Access-based enumeration does not prevent users from obtaining a referral to a folder target if they already know the DFS path of the folder with targets. Разрешения, заданные с помощью проводника или команды Icacls для корней пространства имен или папок без конечных объектов, определяют, могут ли пользователи получать доступ к папке DFS или корню пространства имен. Permissions set using Windows Explorer or the Icacls command on namespace roots or folders without targets control whether users can access the DFS folder or namespace root. Однако они не мешают пользователям получить непосредственный доступ к папке с конечными объектами. However, they do not prevent users from directly accessing a folder with targets. Запретить доступ пользователя к конечным объектам папки могут только разрешения для общего ресурса или разрешения файловой системы NTFS, относящиеся к самой общей папке. Only the share permissions or the NTFS file system permissions of the shared folder itself can prevent users from accessing folder targets.

Переключение с явных разрешений на унаследованные разрешения To switch from explicit permissions to inherited permissions

В узле Пространства имен дерева консоли найдите папку с конечными объектами, управлять видимостью которых вы хотите, щелкните эту папку правой кнопкой мыши и выберите Свойства. In the console tree, under the Namespaces node, locate the folder with targets whose visibility you want to control, right-click the folder and then click Properties.

Перейдите на вкладку Дополнительно. Click the Advanced tab.

Нажмите кнопку Наследовать разрешения из локальной файловой системы, а затем нажмите кнопку ОК в диалоговом окне Подтвердите использование унаследованных разрешений. Click Use inherited permissions from the local file system and then click OK in the Confirm Use of Inherited Permissions dialog box. При этом будут удалены все явно заданные разрешения для этой папки и будут восстановлены унаследованные разрешения NTFS из локальной файловой системы сервера пространства имен. Doing this removes all explicitly set permissions on this folder, restoring inherited NTFS permissions from the local file system of the namespace server.

Чтобы изменить унаследованные разрешения для папок или корней пространства имен в пространстве имен DFS, используйте проводник или команду ICacls. To change the inherited permissions for folders or namespace roots in a DFS namespace, use Windows Explorer or the ICacls command.

Источник

Включение перечисления на основе доступа для пространства имен Enable access-based enumeration on a namespace

Область применения: Windows Server 2019, Windows Server (половина ежегодного канала), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008

Перечисление на основе доступа позволяет скрыть файлы и папки, на доступ к которым у пользователей нет разрешения. Access-based enumeration hides files and folders that users do not have permissions to access. По умолчанию для пространств имен DFS эта функция отключена. By default, this feature is not enabled for DFS namespaces. Включить перечисление на основе доступа для папок DFS можно с помощью оснастки «Управление DFS». You can enable access-based enumeration of DFS folders by using DFS Management. Для управления перечислением на основе доступа файлов и папок в конечных объектах папок необходимо включить перечисление на основе доступа в каждой общей папке с помощью оснастки «Управление общими ресурсами и хранилищами». To control access-based enumeration of files and folders in folder targets, you must enable access-based enumeration on each shared folder by using Share and Storage Management.

Для включения перечисления на основе доступа для пространства имен все серверы пространства имен должны работать под управлением Windows Server 2008 или более поздней версии. To enable access-based enumeration on a namespace, all namespace servers must be running Windows Server 2008 or newer. Кроме того, для доменных пространств имен должен использоваться режим Windows Server 2008. Additionally, domain-based namespaces must use the Windows Server 2008 mode. Сведения о требованиях режима Windows Server 2008 см. в разделе Выбор типа пространства имен. For information about the requirements of the Windows Server 2008 mode, see Choose a Namespace Type.

Читайте также:  Bluetooth адаптер программа для windows

В некоторых средах включение перечисления на основе доступа может привести к высокой загрузке ЦП на сервере и замедлением отклика для пользователей. In some environments, enabling access-based enumeration can cause high CPU utilization on the server and slow response times for users.

Если вы обновите режим работы домена до Windows Server 2008 при наличии существующих доменных пространств имен, оснастка «Управление DFS» позволит включить перечисление на основе доступа для этих пространств имен. If you upgrade the domain functional level to Windows Server 2008 while there are existing domain-based namespaces, DFS Management will allow you to enable access-based enumeration on these namespaces. Однако вы не сможете редактировать разрешения для скрытия папок от каких-либо групп или пользователей, если перенесете пространство имен в режим Windows Server 2008. However, you will not be able to edit permissions to hide folders from any groups or users unless you migrate the namespaces to the Windows Server 2008 mode. Дополнительные сведения см. в разделе Перенос доменного пространства имен в режим Windows Server 2008. For more information, see Migrate a Domain-based Namespace to Windows Server 2008 Mode.

Чтобы использовать перечисление на основе доступа с пространствами имен DFS, необходимо выполнить следующие действия: To use access-based enumeration with DFS Namespaces, you must follow these steps:

Перечисление на основе доступа не мешает пользователям переходить по ссылке на конечный объект папки, если они уже знают путь DFS. Access-based enumeration does not prevent users from getting a referral to a folder target if they already know the DFS path. Помешать доступу пользователя к конечному объекту папки могут только разрешения для общего ресурса или разрешения файловой системы NTFS, относящиеся к самому конечному объекту папки (общей папке). Only the share permissions or the NTFS file system permissions of the folder target (shared folder) itself can prevent users from accessing a folder target. Разрешения для папок DFS используются только для отображения или скрытия папок DFS, а не для управления доступом, что делает доступ на чтение единственным применимым разрешением на уровне папки DFS. DFS folder permissions are used only for displaying or hiding DFS folders, not for controlling access, making Read access the only relevant permission at the DFS folder level. Дополнительные сведения см. в разделе Использование унаследованных разрешений с перечислением на основе доступа For more information, see Using Inherited Permissions with Access-Based Enumeration

Включение перечисления на основе доступа с помощью интерфейса Windows To enable access-based enumeration by using the Windows interface

Перейдите на вкладку Дополнительно и установите флажок Включить перечисление на основе доступа для этого пространства имен. Click the Advanced tab and then select the Enable access-based enumeration for this namespace check box.

Включение перечисления на основе доступа с помощью командной строки To enable access-based enumeration by using a command line

Откройте окно командной строки на сервере, где установлена служба роли Распределенная файловая система или компонент Средства распределенной файловой системы. Open a command prompt window on a server that has the Distributed File System role service or Distributed File System Tools feature installed.

Введите следующую команду, где является корнем пространства имен: Type the following command, where is the root of the namespace:

Для управления перечислением на основе доступа для пространства имен с помощью Windows PowerShell используйте командлеты Set-DfsnRoot, Grant-DfsnAccess и Revoke-DfsnAccess. To manage access-based enumeration on a namespace by using Windows PowerShell, use the Set-DfsnRoot, Grant-DfsnAccess, and Revoke-DfsnAccess cmdlets. Модуль DFSN Windows PowerShell был введен в Windows Server 2012. The DFSN Windows PowerShell module was introduced in Windows Server 2012.

Управлять тем, какие пользователи и группы могут просматривать отдельные папки DFS, можно с помощью интерфейса Windows или с помощью командной строки. You can control which users and groups can view individual DFS folders either by using the Windows interface or by using a command line.

Управление видимостью папки с помощью интерфейса Windows To control folder visibility by using the Windows interface

В узле Пространства имен дерева консоли найдите папку с конечными объектами, управлять видимостью которых вы хотите, щелкните ее правой кнопкой мыши и выберите Свойства. In the console tree, under the Namespaces node, locate the folder with targets for which you want to control visibility, right-click it and then click Properties.

Перейдите на вкладку Дополнительно. Click the Advanced tab.

Нажмите кнопку Задать явные разрешения на просмотр для папки DFS и затем Настроить разрешения просмотра. Click Set explicit view permissions on the DFS folder and then Configure view permissions.

Добавьте или удалите группы или пользователей, нажимая кнопку Добавить или Удалить. Add or remove groups or users by clicking Add or Remove.

Чтобы разрешить пользователям видеть папку DFS, выберите группу или пользователя и установите флажок Разрешить. To allow users to see the DFS folder, select the group or user, and then select the Allow check box.

Чтобы скрыть папку от группы или пользователя, выберите группу или пользователя и установите флажок Запретить. To hide the folder from a group or user, select the group or user, and then select the Deny check box.

Управление видимостью папки с помощью командной строки To control folder visibility by using a command line

Введите следующую команду, где * дфспас* — путь к папке DFS (Link), является именем группы или учетной записи пользователя, а (. ) заменяется дополнительными записями управления доступом (ACE): Type the following command, where is the path of the DFS folder (link), is the name of the group or user account, and (. ) is replaced with additional Access Control Entries (ACEs):

Например, чтобы заменить существующие разрешения на разрешения, которые позволяют группам «Администраторы домена» и » \ преподаватели Contoso» читать (R) доступ к \ папке contoso. оффице\публик\траининг, введите следующую команду: For example, to replace existing permissions with permissions that allows the Domain Admins and CONTOSO\Trainers groups Read (R) access to the \contoso.office\public\training folder, type the following command:

Для выполнения дополнительных задач в командной строке используйте следующие команды: To perform additional tasks from the command prompt, use the following commands:

Источник

Поделиться с друзьями
Советы экспертов и специалистов
Adblock
detector