Скрываем недоступные пользователю папки с помощью Access-Based Enumeration ABE в Windows Server полное руководство

Access-Based Enumeration (ABE) представляет собой функционал, который позволяет скрыть от пользователей видимость недоступных им папок на серверах Windows. Это особенно полезно для общего использования папок, где каждому клиенту необходимо предоставить доступ только к конкретной структуре или содержимому, скрывая при этом другие конкретные папки или файлы.

Установка и настройка accessbased enumeration (аббревиатура ABE) на серверах Windows Server 2012 и выше была сделана легкой. Теперь вы можете использовать специальные утилиты, такие как abecmd или PowerShell, чтобы включить и скрыть доступ к содержимому папок, к которым пользователь не имеет доступа.

Для установки ABE на Windows Server 2012 R2 и выше вам необходимо установить службу «Пользовательские права» (User Rights Service) и доступ к папкам удаленного управления (Remote Management Files) на сервере. После установки и настройки службы вы можете спрятать недоступные пользователю папки, кроме тех, которые разрешены для использования.

ABE также позволяет управлять доступом к общим папкам на основе прав пользователей. Вы можете использовать PowerShell команду «Get-SmbShare» для получения списка всех общих папок на сервере, а затем использовать команды ABE, чтобы скрыть или показать доступ к конкретным объектам в этих папках. Такой функционал дает вам полный контроль над управлением доступом к файловой структуре на сервере.

Теперь, когда вы знаете особенности и настройки ABE, вы можете использовать этот функционал для скрытия недоступных пользователю папок на серверах Windows. Ваш пользователь больше не будет видеть содержимое папок, к которому у него нет доступа, что обеспечит более безопасное управление файлами и папками на серверах Windows.

Ограничения Access Based Enumeration

Ограничение функционала

ABE не предоставляет возможность скрыть от пользователя конкретные файлы, доступ к которым у него отсутствует. Функционал ABE ориентирован только на скрытие недоступных папок, а не файлов.

Работа только на сервере

ABE может быть установлен только на серверах с операционными системами Windows Server 2003 или более поздней версии. Для использования функционала ABE на клиентских компьютерах необходимо настроить удаленный доступ к серверу через соответствующий пакет службы управления сервером.

Требуется правильная структура каталогов

Для эффективной работы ABE необходимо иметь правильную структуру каталогов на сервере. Работа функционала ABE основана на различиях в доступе к папкам внутри общей структуры. Если структура каталогов не продумана и не соответствует требованиям ABE, скрытие недоступных папок может быть некорректным или неэффективным.

Ограничение версий Windows Server

ABE доступен только для серверов с операционной системой Windows Server 2003 или более поздней версии. Если у вас установлена более ранняя версия Windows Server, ABE не будет доступен.

Проблемы с производительностью

ABE может повлиять на производительность сервера, особенно при большом количестве папок и пользователей. При активации ABE серверу требуется выполнить дополнительные проверки доступа и скрыть недоступные папки перед тем, как возвращать их пользователю. Если сервер обрабатывает большое количество запросов на доступ к папкам одновременно, это может вызвать задержки и снижение производительности.

Проблемы с доступом через сетевой диск

ABE может вызвать проблемы с доступом через сетевые диски на клиентском компьютере. Если пользователь имеет доступ к папке через сетевой диск до включения ABE, после включения ABE эта папка может стать недоступной. Для восстановления доступа к папке пользователь должен перезагрузить компьютер или переподключить сетевой диск.

Ограничение	Причина	Решение
Невозможность скрыть файлы	ABE ориентирован только на скрытие папок	Нет решения, ABE не предоставляет такой функционал
Работа только на сервере	ABE доступен только на серверах Windows Server 2003 и новее	Установите ABE на сервер, настройте удаленный доступ к серверу для клиентских компьютеров
Требуется правильная структура каталогов	ABE основан на различиях в доступе к папкам внутри общей структуры каталогов	Перестройте структуру каталогов в соответствии с требованиями ABE
Ограничение версий Windows Server	ABE доступен только на Windows Server 2003 и новее	Установите более новую версию операционной системы Windows Server
Проблемы с производительностью	ABE может вызвать задержки и снижение производительности сервера	Оптимизируйте работу сервера и конфигурацию ABE для снижения нагрузки
Проблемы с доступом через сетевой диск	ABE может вызвать проблемы с доступом к папке через сетевой диск	Перезагрузите компьютер или переподключите сетевой диск для восстановления доступа

Использование ABE в Windows Server 2008 и 2008 R2

Для использования ABE на сервере Windows Server 2008 или 2008 R2 вам нужно установить специальный пакет обновления для службы файлового сервера. Пакет доступен на официальном сайте Microsoft. После установки пакета вы сможете настроить ABE с помощью командной строки или графического интерфейса.

Если вы предпочитаете использовать командную строку, то есть утилита abecmd, которая реализует функционал ABE. Чтобы установить эту утилиту, выполните команду «install abecmd» с правами администратора в командной строке. После установки утилиты вы сможете использовать команды abecmd для настройки ABE на сервере.

Для использования ABE с помощью графического интерфейса вам нужно установить службу файлового сервера через «Установка ролей и компонентов» в «Управлении сервером». После установки службы файлового сервера вы сможете настроить ABE в свойствах каждого конкретного диска или папки.

Помимо установки и настройки ABE, вам также может понадобиться установить и сконфигурировать другие ограничения доступа к файловой системе, такие как ограничение доступа к определенным папкам для конкретного пользователя или группы пользователей. Для этого вы можете использовать функционал Access Control Lists (ACL) в Windows Server.

Если у вас есть сервер Windows Server 2012 или более поздней версии, то вам не нужно устанавливать дополнительные пакеты или утилиты для использования ABE. В этих версиях Windows Server ABE уже встроен в функционал файловой службы. Чтобы настроить ABE, вы можете использовать инструменты PowerShell. Например, вы можете использовать команду «Get-SmbShare» для получения списка всех шар на сервере и их настройек доступа.

Управление Access Based Enumeration с помощью PowerShell

Активация ABE

Для начала необходимо убедиться, что ABE уже установлен и активирован на сервере. Вы можете проверить это с помощью консольной утилиты d1c-base abecmd get-smbshare. Если вы видите возвращаемое значение «AccessBasedEnumeration : True», то ABE уже активирован.

Настройка ABE

Если ABE не активирован, то вам нужно его активировать. Для этого выполните следующие шаги:

1. Откройте PowerShell или командную строку с правами администратора.
2. Введите следующую команду: install-WindowsFeature -Name FileAndStorage-Services -IncludeManagementTools
3. После успешной установки введите команду EnableAccessBasedEnumeration -DatabasePath <путь к базе данных>, чтобы активировать ABE.

Обратите внимание, что значение <путь к базе данных> должно быть полным путем к папке, в которой будет создана база данных ABE. Рекомендуется использовать дополнительный диск или раздел для этого.

Настройка скрытия папок

После активации ABE вы можете настроить скрытие папок для конкретных пользователей или групп. Для этого выполните следующие шаги:

1. Откройте PowerShell или командную строку с правами администратора.
2. Введите команду Get-SmbShare | Set-SmbShare -FolderEnumerationMode AccessBased, чтобы настроить скрытие папок для всех общих папок.
3. Введите команду Set-SmbShareAccess -Name <имя папки> -User <пользователь> -AccessBasedEnumerationEnabled $true, чтобы настроить скрытие папки <имя папки> для пользователя <пользователь>.

Обратите внимание, что <имя папки> должно быть конкретным и указывать на существующую папку. Вы также можете использовать имя группы вместо имени пользователя.

Почему использовать PowerShell?

Использование PowerShell для управления ABE предоставляет более гибкие и автоматизированные возможности. Вы можете легко настроить скрытие папок для всех общих папок с помощью одной команды, а также настраивать доступ к конкретным папкам для конкретных пользователей или групп.

Операционная система	Минимальная версия	Дополнительное ПО
Windows Server	2008 R2	PowerShell 2.0
Windows 7	Windows 7	PowerShell 2.0
Windows 10	Windows 10	PowerShell 6.0

Как вы видите, PowerShell доступен на всех серверах Windows и клиентских операционных системах начиная с Windows 7. Это делает его удобным инструментом для управления ABE.

Как скрыть диски на терминальном сервере

Access-Based Enumeration (ABE) в Windows Server позволяет ограничить видимость папок и файлов на сетевом ресурсе только для пользователей, которые имеют доступ к этим данным. Однако есть еще одна особенность, связанная с скрытием дисков на терминальном сервере, что может быть полезным в определенных случаях.

В Windows Server 2012 R2, Windows Server 2012 и Windows Server 2008 R2 с функционалом ABE на терминальном сервере нет такой возможности по умолчанию. То есть пользователи могут видеть все диски и их содержимое, что может создать проблему в общей среде, где клиенты удаленно подключаются к серверу.

Для скрытия дисков на терминальном сервере в Windows Server 2012 R2, Windows Server 2012 и Windows Server 2008 R2, помимо установки и настройки ABE, также нужно установить и настроить один пакет, который называется ABECmd. Это утилита командной строки, которая дает возможность скрыть недоступные диски для каждого пользователя.

Для начала нужно установить ABECmd в Windows Server. Для этого сначала нужно установить пререквизиты для ABECmd. Скачайте и установите пакет Microsoft Visual C++ 2010 Redistributable Package (x64) с сайта Microsoft. Затем установите ABECmd из пакета распространения Windows Server.

Как только ABECmd установлен, необходимо настроить его. Запустите командную строку от имени администратора и выполните следующую команду:

accessbasedenumeration.exe policies reset

После выполнения этой команды будет сброшено значение настройки «accessbasedenumeration.exe policies» к нулю. Теперь нужно установить новое значение этой настройки, чтобы установить скрытие дисков на терминальном сервере. Выполните следующую команду:

accessbasedenumeration.exe policies add d1c-base,C:\*

Эта команда устанавливает значение настройки accessbasedenumeration.exe policies в «d1c-base,C:\*», что означает, что пользователь будет видеть только диски на сервере и не будет видеть содержимое этих дисков. Если вы хотите скрыть конкретные диски, замените «C:\*» на путь к нужному диску, например, «E:\*».

После выполнения этих команд диски, указанные в настройке accessbasedenumeration.exe policies, не будут видны пользователям, кроме тех, кто имеет доступ к этим конкретным дискам.

Настройка Access Based Enumeration в Windows Server 2012 R2 и 2016

Для управления доступом к содержимому папок используйте инструменты управления правами доступа, такие как командной строке или графическом интерфейсе в Windows. Настраивать ABE можно на конкретных папках или на всей структуре каталогов.

Чтобы активировать ABE на серверах с Windows Server 2012 и выше, включая Windows Server 2016, выполните следующие действия:

1. Установите пакет ABE на серверу. Если у вас установлен пакет роли, перейдите к следующему шагу. Если пакет не установлен, его можно установить из каталога компонентов службы файлового сервера. Для этого перейдите в меню «Диспетчер сервера» -> «Установка ролей» -> «Infrastructure Services» -> «Установка компонентов службы файлового сервера».
2. Перейдите к каталогу, в котором находится папка, которую нужно скрыть от пользователей. Откройте свойства этой папки и перейдите на вкладку «Расширенные» -> «Настройки» -> «Access-based Enumeration» -> «Установите флажок «Enable access-based enumeration on this folder».
3. Если вы хотите применить ABE к конкретной папке, а не ко всей структуре каталогов, вы можете установить ABE на каждую конкретную папку, исключив эти папки из общего доступа.
4. После установки ABE пользователь теперь не сможет видеть содержимое папок, к которым у него нет доступа.

ABE также может быть использован на серверах Windows Server 2003 и старше для ограничения клиентам из терминалов или тонких клиентов на основе Windows 7 доступа к диску с общим доступом. Если у вас есть ресурсы, которые требуют ABE на сервере, вы можете использовать настройки конкретных папок через командную строку. Для этого используйте команду «abecmd» вместо «install» в команде «accessbased».

Чтобы просмотреть настройки ABE на сервере, выполните следующую команду в PowerShell: Get-SmbShare | fl Name,ABE*

Таким образом, настройка Access Based Enumeration в Windows Server 2012 R2 и 2016 позволяет скрывать недоступные пользователю папки, обеспечивая видимость только тех папок, к которым у него есть доступ.

Особенности доступа к общим сетевым папкам Windows

В операционной системе Windows Server есть возможность скрывать недоступные пользователю папки с помощью Access-Based Enumeration (ABE). Это полезная настройка, которая обеспечивает видимость и доступ только к конкретным папкам и файлам, которые пользователь имеет право использовать.

Access-Based Enumeration (ABE)

Access-Based Enumeration (ABE) — это функция, доступная на серверах Windows Server с пакетом обновления 1 или выше. Она позволяет скрывать папки и файлы от пользователей, у которых нет прав на доступ к этим объектам. То есть, пользователь видит только те папки и файлы, к которым у него есть доступ, а недоступные объекты не отображаются.

ABE может быть активирован как с помощью графического интерфейса (через менеджер файлов Windows или управление службами файлового сервера), так и с помощью командлетов PowerShell.

Настройка Access-Based Enumeration (ABE)

Для активации ABE необходимо установить пакет обновления 1 для Windows Server. Затем следует настроить сервис служб файлового сервера (File Server Resource Manager — FSRM) в соответствии с требованиями. После этого можно активировать ABE для конкретной папки или папок.

ABE позволяет пользователям увидеть только те папки и файлы, к которым у них есть доступ. Если пользователь, например, доступен только к папке «D1C-Base», то он видит только эту папку, а все остальные папки скрыты.

Ограничения ABE

ABE имеет свои ограничения. Во-первых, оно не поддерживается во всех операционных системах. Так, на Windows 7 и Windows 10 Home Edition ABE не работает.

Во-вторых, ABE работает только для имеющих доступ пользователей. То есть, если пользователь не имеет доступа к какой-либо папке, то он не сможет увидеть её даже при активированном ABE.

Также стоит отметить, что ABE не применяется к общим папкам и файлам на клиентском компьютере. ABE работает только на сервере, где установлен сервис служб файлового сервера.

В целом, использование Access-Based Enumeration (ABE) позволяет скрыть недоступные пользователю папки и файлы, обеспечивая только видимость и доступ к конкретным данным на основе настроек доступа к файловым шарам.

Видео:

Как убрать слежку за пользователем компьютера в Windows 10? Скрытая папка Recent. Отключаем слежку.

Как убрать слежку за пользователем компьютера в Windows 10? Скрытая папка Recent. Отключаем слежку. by Компьютер для начинающих от Влада 6,770 views 2 years ago 6 minutes, 24 seconds