Abe что за программа

По умолчанию, когда пользователь открывает некую общую сетевую папку на сервере (предполагаем, что у пользователя есть право на доступ к сетевой шаре), SMB отображает ему полный список каталогов и файлов, которые находятся в ней. Функционал Windows «перечисление на основе доступа» (Access Based Enumeration – ABE) позволяет в сетевой папке скрыть от пользователя те файлы и папки, на которые у него отсутствуют NTFS разрешения.

Технология Access Based Enumeration впервые появилась еще в Windows Server 2003 SP1 и помогает предотвратить просмотр пользователями списков чужих файлов и папок.

Процесс доступа к сетевой папке в среде Windows выполняется следующим образом:

1. Пользователь обращается к серверу и запрашивает доступ к общей сетевой папке
2. Служба LanmanServer на сервере (именно она отвечает за предоставление доступа к файлам по SMB) проверяет, есть ли у пользователя необходимые разрешений на доступ к данной сетевой папке. Если доступ имеется, служба возвращает список пользователю список с содержимым папки
3. Затем пользователь может выбрать и попытаться открыть необходимый ему файл или папку
4. Сервер проверяет, имеет ли пользователь необходимые NTFS права на доступ к данному элементу. Если у пользователя есть необходимые разрешения, он открывает нужный объект. Если у пользователя не достаточно прав — возвращается ошибка отказа в доступе.

Согласно этому алгоритму сервер сначала возвращает пользователю список всего содержимого папки, а проверка наличия прав доступа к отдельным файлам и папкам выполняется только при обращении к ним. При включении ABE, служба LanmanServer вернет пользователю не все содержимое папки, а только те объекты файловой системы, на которые у пользователя есть права (Read или List contents).

МЕДИЦИНСКАЯ СТРАХОВКА В США/MEDICAID/MEDICARE/ЧТО ПОЛОЖЕНО ПО ПАРОЛЮ ,TPS И ПО ПОЛИТ УБЕЖИЩУ

Некоторые особенности ABE:

• ABE управляет только списком содержимого общей папки, но не скрывает сами шары от пользователей. Поэтому, когда пользователь подключается к серверу (\server-name), он увидит все имеющиеся на нем шары. Чтобы создать скрытую шару, нужно добавить в конец ее имени знак $, например SecretFolder$
• При локальном или RDP входе пользователя на сервер, ABE не работает
• Члены локальной группы «Администраторы» всегда видят полное содержимое сетевой папки

ABE включается для каждой сетевой папки по отдельности. Чтобы настроить ABE, откройте консоль Server Manager и выберите роль «File and Storage Services» (роль уже должна быть установлена).

Затем перейдите в раздел «Shares» и выберите из списка сетевую папку, для которой необходимо включить ABE. Щелкните правой кнопкой по папке и выберите «Properties».

В окне свойств папки перейдите на вкладку Settings и включите опцию Enable access-based enumeration.

«Путина выдадут Гааге в результате заговора“ — адвокат Илья Новиков #вТРЕНДde

Кроме того, вы можете включить перечисление на основе доступа на сетевом ресурсе с помощью PowerShell командлета Set-SmbShare:

Set-SmbShare -Name «Share» -FolderEnumerationMode AccessBased

В том случае, если вы управляете общими папками централизованно с помощью GPO (секция Computer Configuration -> Preferences -> Windows Settings -> Network Shares), вы можете включить ABE в ее свойствах (скрин ниже).

В качестве небольшой иллюстрации работы ABE. На скриншоте ниже показано как выглядит содержимое сетевой папки, для которой включен ABE для системного администратора сервера.

А так в проводнике выглядит та же самая папка для менеджера из отдела управления активами.

Таким образом, технология ABE облегчает жизнь как пользователям, так и администраторам. Пользователи не видят лишнюю и избыточную информацию в проводнике, а администратору не нужно больше отвечать на вопросы пользователи об отсутствии доступа к той или иной папке.

Однако у технологии Access Based Enumeration есть и небольшой недостаток — дополнительная нагрузка на сервер. Нагрузка зависит от количества пользователей сервера, количества объектов в общих папках и сложности ACL. При высокой загрузке сервера, скорость открытия папок на файловом сервере может значительно снижаться.

Источник: vmblog.ru

Скрываем папки недоступные пользователю с помощью Access-Based Enumeration (ABE) в Windows Server

Технология перечисления на основе доступа (ABE) позволяет пользователям скрывать файлы и папки от пользователей на общих сетевых ресурсах (шарах), к которым у них нет доступа для чтения на уровне NTFS. Таким образом, можно обеспечить дополнительную конфиденциальность данных, хранящихся в сетевом каталоге (за счет сокрытия структуры и имен каталогов и файлов), повысить удобство использования для пользователя, который при работе с сетевым каталогом не увидит лишней информации (в частности, доступ к которому у него у всех одинаково отсутствует) и, прежде всего, мы защитим системного администратора от постоянных вопросов пользователей «почему они не пускают меня в эту папку !!». Попробуем более подробно разобраться в этой технологии и особенностях ее настройки и использования в различных версиях Windows.

Access-Based Enumeration (ABE) в Windows Server позволяет скрывать папки и файлы, которые пользователь не может просматривать из-за ограничений безопасности. ABE можно настроить на каждом уровне шары для скрытия папок и файлов, на которые пользователи не имеют доступа.

Для настройки ABE необходимо выполнить следующие действия:

1. Убедитесь, что ABE включено на сервере. Для этого откройте “Server Manager”, перейдите в раздел “File and Storage Services” и выберите соответствующий сервер. Нажмите правой кнопкой мыши на “Shares” и выберите “Configure Access-Based Enumeration”.
2. Выберите шару, на которой нужно включить ABE, и нажмите “Enable access-based enumeration”. Затем нажмите “OK”.
3. После включения ABE пользователи будут видеть только те папки и файлы, на которые у них есть права доступа.

ABE позволяет предотвратить попытки пользователей получить доступ к недоступным файлам и папкам, что повышает уровень безопасности в среде Windows Server.

Особенности доступа к общим сетевым папкам Windows

Одним из недостатков сетевых папок Windows является тот факт, что по умолчанию все пользователи при просмотре содержимого общей папки могут, по крайней мере, видеть ее структуру и список файлов и каталогов, которые она содержит, включая те, к которым осуществляется доступ на уровне NTFS отсутствует (при попытке открыть такой файл или папку пользователь получает сообщение об ошибке отказа в доступе). Так почему бы не скрыть от пользователя те каталоги и файлы, к которым у них еще нет доступа? Технология Access Based Enumeration (ABE) должна помочь в решении этой задачи. Включив ABE в общей сетевой папке, вы можете гарантировать, что разные пользователи будут видеть разные списки каталогов и файлов в одной и той же сетевой папке, в зависимости от индивидуальных прав доступа пользователя к этим папкам (ACL).

Как клиент и сервер взаимодействуют при доступе к общей папке:

• Клиент обращается к серверу с запросом на доступ к интересующему каталогу в общей сетевой папке;
• Служба LanmanServer на сервере проверяет, есть ли у пользователя разрешения NTFS для каталога;
• Если доступ разрешен (просмотр / чтение / запись), пользователь видит список содержимого каталога;
• Затем пользователь может открыть определенный файл или подкаталог, используя тот же шаблон (вы можете увидеть, кто открыл конкретный файл в сетевой папке, подобной этой). Если к папке невозможно получить доступ, пользователь получает соответствующее предупреждение.

+ zhivye-oboi-windows.ru Загрузочная флешка Windows 10: как сделать и записать ISO-образ, 11 способов

из этой схемы видно, что сервер сначала показывает пользователю все содержимое папки и проверяет права доступа к конкретному объекту только после попытки доступа к его содержимому.

Функция перечисления на основе доступа (ABE) позволяет проверять права доступа к объектам в файловой системе перед отправкой пользователю списка содержимого папки. Таким образом, в окончательный список будут включены только те объекты, для которых у пользователя есть как минимум права чтения на уровне NTFS, а все недоступные ресурсы просто не отображаются (скрыты).

Пользователи отдела (например, склада) в том же сетевом каталоге (\ filesrv1 docs) увидят список папок и файлов. Как видите, у пользователя отображаются только две папки: Public и Sklad.

Пользователи из другого отдела, например ИТ (которые включены в другую группу безопасности Windows), видят другой список подкаталогов. Помимо каталогов Public и Sklad, для этих пользователей в сетевой папке видны 6 других каталогов.

Основным недостатком использования ABE на файловых серверах является дополнительная нагрузка на сервер. Это может быть особенно заметно на сильно загруженных файловых серверах. Чем больше объектов в каталоге отображается и чем больше пользователей открывают в нем файлы, тем больше задержка. По данным Microsoft, если в отображаемом каталоге находится 15 000 объектов (файлов и каталогов), скорость открытия папки замедляется на 1-3 секунды. Поэтому при проектировании структуры общих папок рекомендуется уделять пристальное внимание созданию четкой и иерархической структуры вложенных папок, в этом случае замедление скорости открытия каталогов не будет заметно.

Примечание. Понятно, что перечисление на основе доступа не скрывает от пользователя список общих сетевых ресурсов (мяч) на файловом сервере, а действует только в отношении их содержимого. Если вы хотите скрыть сетевую папку от пользователя, добавьте символ $ в конец имени общей папки $.

ABE можно управлять из командной строки (утилита abecmd.exe), из графического интерфейса, PowerShell или через специальный API.

Ограничения Access Based Enumeration

Перечисление на основе входа в систему в Windows не работает в следующих случаях:

1. Если в качестве файлового сервера используется Windows XP или Windows Server 2003 без Service Pack;
2. При просмотре каталогов локально (прямо с сервера). Например, пользователь, подключающийся к серверу RDS, увидит все локальные папки, если этот сервер также используется как файловый сервер);
3. Для членов группы администраторов локального файлового сервера (всегда смотрите полный список файлов).

+ zhivye-oboi-windows.ru Отсутствуют сетевые протоколы Windows 10 Threshold 2

Использование ABE в Windows Server 2008 / 2008 R2

В Windows Server 2008 / R2 вам не нужно устанавливать какие-либо надстройки для использования функции перечисления на основе входа в систему – возможность управления функциональностью ABE уже встроена в графический интерфейс Windows. Чтобы включить перечисление на основе доступа для определенной папки в Windows Server 2008/2008 R2, откройте консоль управления хранилищем и общим доступом mmc (Пуск -> Программы -> Администрирование -> Управление хранилищем и общим доступом). Перейдите в окно свойств желаемых шаров. Затем перейдите в окно дополнительных настроек (кнопка «Дополнительно») и включите параметр «Включить перечисление на основе входа в систему.

Настройка Access Based Enumeration в Windows Server 2012 R2/ 2016

Настроить ABE в Windows Server 2012 R2 / 2016 также просто. Чтобы включить перечисление на основе входа в систему, вы, конечно, должны сначала установить роль File And Storage Services, а затем перейти к свойствам общей папки в консоли Server Manager.

В разделе «Настройки» включите параметр «Включить перечисление на основе входа в систему.

Настройка Access Based Enumeration в Windows Server 2003

В Windows Server 2003 (больше не выпускается) технология ABE поддерживалась, начиная с Service Pack1. Чтобы включить перечисление на основе входа в систему в Windows Server 2003 SP1 (или более поздней версии), вам необходимо загрузить и установить пакет _http: //www.microsoft.com/en-us/download/details.aspx?Id = 17510 Во время установки процесса, вам необходимо указать, хотите ли вы автоматически включать ABE для всех общих папок на сервере, или настройка будет выполняться в индивидуальном порядке. Если выбран второй элемент, после завершения установки пакета в свойствах общей папки появится новая вкладка «Перечисление на основе входа.

Чтобы включить ABE для определенной папки, включите параметр Включить перечисление на основе доступа для этой общей папки в ее свойствах.

Также обратите внимание, что перечисление на основе доступа на основе DFS поддерживается в Windows 2003, но может быть настроено только из командной строки с помощью утилиты cacls.

Управление ABE из командной строки

Настройками перечисления на основе входа в систему можно управлять из командной строки с помощью служебной программы Abecmd.exe. Эта утилита включена в перечисление на основе входа в систему для Windows Server 2003 SP1 (ссылка выше).

Утилита Abecmd.exe позволяет включить ABE для всех каталогов одновременно или лично. Следующая команда включит перечисление на основе доступа сразу для всех шаров:

abecmd /enable /all

Или для конкретной папки (например, шаров под названием Docs):

abecmd /enable Docs

Управление Access Based Enumeration с помощью PowerShell

Для управления настройками перечисления на основе доступа для определенных папок вы можете использовать модуль SMBShare PowerShell (установлен по умолчанию в Windows 10 / 8.1 и Windows Server 2016/2012 R2). Покажем свойства конкретной сетевой папки:

+ zhivye-oboi-windows.ru Разворачиваем домашний DLNA сервер на Windows 8

Обратите внимание на значение атрибута FolderEnumerationMode. В нашем случае это значение Unrestricted. Это означает, что ABE отключен для этой папки.

Вы можете проверить статус ABE для всех сетевых папок на сервере:

Get-SmbShare | Select-Object Name,FolderEnumerationMode

Чтобы включить ABE для папки, запустите:

Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased

вы можете включить перечисление на основе доступа для всех опубликованных сетевых папок (включая административные общие ресурсы ADMIN $, C $, E $, IPC $), запустите:

Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased

Чтобы отключить ABE, запустите:

Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode Unrestricted

Access-Based Enumeration в Windows 10 / 8.1 / 7

Многие пользователи, особенно в домашних сетях, также хотели бы воспользоваться преимуществами функции перечисления на основе входа в систему. Проблема в том, что клиентские операционные системы Microsoft не имеют как графического интерфейса, так и интерфейса управления «Перечисление на основе входа в систему» ​​в виде командной строки».

В Windows 10 (Server 2016) и Windows 8.1 (Server 2012R2) вы можете использовать PowerShell для управления перечислением на основе входа в систему (см. Предыдущий раздел). В предыдущих версиях Windows вам нужно было установить последнюю версию PowerShell (> = 5.0) или использовать служебную программу abecmd.exe из пакета Windows Server 2003, которая также отлично работает в клиентских операционных системах. Поскольку пакет перечисления на основе входа в Windows Server 2003 не установлен в Windows 10 / 8.1 / 7, вам необходимо сначала установить его в Windows Server 2003, а затем скопировать его из каталога C: windows system32 в тот же каталог, что и клиент. Впоследствии ABE можно включить с помощью сценария командной строки, описанного выше.

Примечание. В корпоративной среде ABE хорошо работает с папками DFS, скрывая «ненужные» папки от пользователя и обеспечивая более удобную древовидную структуру общих папок. Вы можете включить ABE в пространстве имен DFS с помощью консоли управления DFS или утилиты dfsutil.exe:

dfsutil property abde enable \

Кроме того, вы можете включить ABE на компьютерах домена AD с помощью групповой политики. Для этого воспользуйтесь GPP в разделе: Конфигурация компьютера -> Настройки -> Настройки Windows -> Сетевые ресурсы).

Как видите, в свойствах сетевой папки есть параметр «Перечисление на основе доступа». Если вы измените значение на «Включить», режим ABE будет включен для всех общих папок, созданных с помощью этого объекта групповой политики.

Источник изображения: winitpro.ru

Алексей Игнатьев/ автор статьи

Специалист и эксперт zhivye-oboi-windows.ru — профессиональный консультант, системный администратор.
Опыт работы в этой сфере 7 лет.

Поделись публикацией
Это так же интересно

Использование настроек Windows 7. Использование Центра управления Windows 7. Использование комбинации клавиш на клавиатуре.

Использование настроек Windows 11. Использование Центра управления Windows 11. Использование Панели задач Windows 11.

Способы сделать браузер по умолчанию в Windows 7: “Панель управления” “Интернет-опции” “Редактор реестра” “Групповая

Способы сделать браузер по умолчанию в Windows 11: “Настройки” Windows “Панель управления” “Ассистент по

Для сделать вход в Windows 7 без пароля можно выполнить следующие действия: Откройте “Панель

Как сделать вход без пароля Windows 11: Откройте “Панель управления” и выберите “Учетные записи

С помощью встроенной программы “Дисковый образ” С помощью утилиты “Daemon Tools” С помощью программы

С помощью встроенной в Windows 11 программы “Дисковый образ”. С помощью встроенного в Windows

С помощью команды “regedit” в меню “Пуск” Через окно “Выполнить” и команду “regedit” Через

Использование комбинации клавиш Win + R, ввод команды “regedit” и нажатие Enter Использование меню

С помощью комбинации клавиш Win + R и вводом команды “regedit”. Через поиск в

Как включить и настроить Родительский контроль Windows 7: Откройте Панель управления и выберите “Учетные

Источник: zhivye-oboi-windows.ru

Скрываем папки недоступные пользователю с помощью Access-Based Enumeration (ABE) в Windows Server

11.09.2019

itpro

Windows 10, Windows Server 2012 R2, Windows Server 2016

комментариев 13

Технология Access-based Enumeration (ABE — Перечисление на основании доступа) позволяет на общих сетевых ресурсах (шарах) скрыть от пользователей файлы и папки, к которым у них отсутствует права доступа на чтение на уровне NTFS. Тем самым можно обеспечить дополнительную конфиденциальность данных, хранящихся в сетевом каталоге (за счет скрытия структуры и имен каталогов и файлов), улучшить юзабилити для пользователя, которому в процессе работы с сетевым каталогом не будет отображаться лишняя информация (тем более доступ к которой у него все равно отсутствует) и, самое главное, оградим системного администратора от постоянных вопросов пользователей «почему меня не пускает в эту папку!!». Попробуем детальнее разобраться в этой технологии и особенностях ее настройки и использования в различных версиях Windows.

Особенности доступа к общим сетевым папкам Windows

Одним из недостатков сетевых папок Windows является тот факт, что по-умолчанию все пользователи при просмотре содержимого общей папки могли, как минимум, видеть ее структуру и список содержащихся в ней файлов и каталогов, в том числе тех, доступ к которым на уровне NTFS у них отсутствует (при попытке открыть такой файл или папку пользователь получает ошибку доступа «Доступ запрещен / Access Denied»). Так почему бы не скрыть от пользователя те каталоги и файлы, к которым у него все равно нет доступа? Помочь в этой задаче должна технология Access Based Enumeration (ABE). Включив ABE на общей сетевой папке можно добиться того, чтобы разные пользователи видели различный список каталогов и файлов в одной и той же сетевой шаре, основанный индивидуальных правах доступа пользователя к этим папкам (ACL).

Каким образом происходит взаимодействие между клиентом и сервером при обращении к общей папке:

• Клиент обращается к серверу с запросом на доступ к интересующему его каталогу в общей сетевой папке;
• Служба LanmanServer на сервере проверяет, есть ли у пользователя права доступа к данному каталогу на уровне разрешений файловой системе NTFS;
• Если доступ разрешен (просмотр содержимого/чтение/запись), пользователь видит список содержимого каталога;
• Затем пользователь по такой же схеме может открыть конкретный файл или вложенный каталог (вы можете посмотреть, кто открыл конкретный файл в сетевой папке так). Если доступа к папке нет, пользователь получает соответствующее уведомление.

Из этой схемы ясно, что сервер сначала показывает пользователю все содержимое папки, а проверку прав доступа на конкретный объект осуществляет только после попытки доступа к его содержимому.

Функционал Access Based Enumeration (ABE) позволяет реализовать проверку прав доступа на объекты файловой системы до того, как пользователю отправляется список содержимого папки. Следовательно, в конечный список будут попадать только те объекты, к которым у пользователя есть хотя бы права Read на уровне NTFS, а все недоступные ресурсы просто не отображаются (скрываются).

Т.е. пользователь одного отдела (например, склада) в одном и том же сетевом каталоге (\filesrv1docs) будет видеть один список папок и файлов. Как вы видите, у пользователя отображаются только две папки: Public и Sklad.

У пользователей другого департамента, например, ИТ (которые включены в другую группу безопасности Windows), отображается другой список вложенных каталогов. Помимо каталогов Public и Sklad у данных пользователей в сетевой папке видны еще 6 директорий.

Основной недостаток использования ABE на файловых серверах – дополнительная нагрузка на сервер. Особенно это можно почувствовать на высоконагруженных файловых серверах. Чем больше количество объектов в просматриваемом каталоге, и чем больше количество пользователей открывают файлы на нем, тем больше задержка. По заявлению Microsoft в случае наличия в отображаемом каталоге 15000 объектов (файлов и каталогов), скорость открытия папки замедляется на 1-3 секунды. Именно поэтому, при проектировании структуры общих папок, рекомендуется уделить большое внимание созданию четкой и иерархической структуры подпапок, в этом случае замедление скорости открытия каталогов будет незаметным.

Примечание. Стоит понимать, что Access Based Enumeration не скрывает от пользователя сам список общих сетевых ресурсов (шар) на файловом сервере, а действует только по отношению к их содержимому. Если нужно скрыть от пользователя именно сетевую папку, необходимо в конец названия общей папки добавить символ $.

Управлять ABE можно из командной строки (утилита abecmd.exe), из графического интерфейса, PowerShell или через специальный API.

Ограничения Access Based Enumeration

Access-based Enumeration в Windows не работает в случаях:

1. Если в качестве файл-сервера используется Windows XP или Windows Server 2003 без Service Pack;
2. При локальном просмотре каталогов (непосредственно с сервера). Например, пользователь, подключившись к RDS серверу будет видеть все локальные папки, если данный сервер используется и в качестве файлового сервера);
3. Для членов локальной группы администраторов файлового сервера (они всегда видят полный список файлов).

Использование ABE в Windows Server 2008 / 2008 R2

В Windows Server 2008/R2 для использования функционала Access Based Enumeration никаких дополнительных компонентов устанавливать не нужно, т.к. возможность управления функционалом ABE уже встроена в графический интерфейс Windows. Чтобы включить Access-based Enumeration для конкретной папки в Windows Server 2008/2008 R2, откройте mmc консоль управления Share and Storage Management (Start –> Programs –> Administrative Tools ->Share and Storage Management). Перейдите в окно свойств нужной шары. Затем перейдите в окно расширенных настроек (кнопка Advanced) и включите опцию Enable access-based enumeration.

Настройка Access Based Enumeration в Windows Server 2012 R2/ 2016

Настройка ABE в Windows Server 2012 R2 / 2016 также выполняется просто. Чтобы включить Access Based Enumeration необходимо сначала, естественно, установить роль файлового сервера (File And Storage Services), а затем в консоли Server Manager перейти в свойства общей папки.

И в разделе Settings включить опцию Enable access-based enumeration.

Настройка Access Based Enumeration в Windows Server 2003

В Windows Server 2003 (снята с поддержки) технология ABE стала поддерживаться начиная с Service Pack1. Чтобы включить Access-based Enumeration в Windows Server 2003 SP1 (и выше), нужно скачать и установить пакет _http://www.microsoft.com/en-us/download/details.aspx?id=17510. В процессе установки необходимо указать, нужно ли автоматически включить ABE для всех общих папок на сервере, либо настройка будет проводиться в индивидуальном порядке. Если выбран второй пункт, то после окончания установки пакета, в свойствах общих папок появится новая вкладка Access-based Enumeration.

Чтобы активировать ABE для конкретной папки, включите в ее свойствах опцию Enable access-based enumeration on this shared folder.

Также отметим, что в Windows 2003 поддерживается использование Access Based Enumeration на основе DFS, однако настроить его можно только из командной строки с помощью утилиты cacls.

Управление ABE из командной строки

Настройками Access-based Enumeration можно управлять из командной строки при помощи утилиты Abecmd.exe. Данная утилита входит в пакет Access-based Enumeration для Windows Server 2003 SP1 (ссылка выше).

Утилита Abecmd.exe позволяет активировать ABE сразу для всех каталогов или же персонально. Следующая команда включит Access-Based Enumeration сразу для всех шар:

abecmd /enable /all

Или для конкретной папки (например, шары с именем Docs):

abecmd /enable Docs

Управление Access Based Enumeration с помощью PowerShell

Для управления настройками Access Based Enumeration для конкретных папок можно использовать PowerShell модуль SMBShare (установлен по-умолчанию в Windows 10/8.1 и Windows Server 2016/ 2012 R2). Выведем свойства конкретной сетевой папки:

Обратите внимание на значение атрибута FolderEnumerationMode. В нашем случае его значение – Unrestricted. Это означает, что ABE отключен для этой папки.

Можно проверить статус ABE для всех сетевых папок сервера:

Get-SmbShare | Select-Object Name,FolderEnumerationMode

Чтобы включить ABE для папки, выполните:

Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased

Вы можете включить Access Based Enumeration для всех опубликованных сетевых папок (в том числе административных шар ADMIN$, C$, E$, IPC$), выполните:

Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased

Чтобы отключить ABE, выполните:

Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode Unrestricted

Access-Based Enumeration в Windows 10 / 8.1 / 7

Многим пользователем, особенно в домашних сетях, также хотелось бы иметь возможность воспользоваться функционалом Access-Based Enumeration. Проблема заключается в том, что в клиентских ОС Microsoft отсутствует как графический, так и командный интерфейс управления «Перечислением на основе доступа».

В Windows 10 (Server 2016) и Windows 8.1 (Server 2012R2) для управления Access-based Enumeration можно использовать PowerShell (см. раздел выше). В более старых версиях Windows, вам необходимо установить последнюю версию PowerShell (>= 5.0) или использовать утилиту abecmd.exe из пакета для Windows Server 2003, прекрасно работает и на клиентских ОС. Т.к. пакет Windows Server 2003 Access-based Enumeration на Windows 10 / 8.1 / 7 не устанавливается, придется сначала установить его на Windows Server 2003, а затем скопировать его из каталога C:windowssystem32 в такой же каталог на клиенте. После этого включить ABE можно по сценарию с командной строкой, описанному выше.

Примечание. В корпоративной среде ABE замечательно сочетается с папками DFS, скрывая от пользователя «ненужные» папки и предоставляя более удобную структуру дерева общих папок. Включить ABE на пространстве имен DFS можно с помощью консоли DFS Management или утилиты dfsutil.exe:
dfsutil property abde enable \

Кроме того, вы можете включать ABE на компьютерах домена AD с помощью групповых политик. Для этого используется GPP в секции: Computer Configuration -> Preferences -> Windows Settings -> Network Shares).

Как вы видите, в свойствах сетевой папки есть опция Access-Based Enumeration, если изменить значение на Enable, для всех общих папок, созданных с помощью данной GPO будет включен режим ABE.

Предыдущая статья Следующая статья

Источник: winitpro.ru