technológie prístup-založené výpočet (ABE - Prenos založený na prístupe) vám umožňuje skryť súbory a priečinky pred používateľmi na zdieľaných sieťových prostriedkoch (guľach), ku ktorým nemajú prístupové práva na čítanie na úrovni NTFS. Takto je možné poskytnúť dodatočnú dôvernosť údajov uložených v sieťovom adresári (skrytím štruktúry a názvov adresárov a súborov), aby sa zlepšila použiteľnosť pre používateľa, ktorý sa počas práce so sieťovým adresárom nezobrazí (najmä prístup, ku ktorému má všetko) rovnako chýba) a čo je najdôležitejšie, budeme chrániť správcu systému pred neustálymi otázkami používateľov. “prečo ma do tohto priečinka nedostane!!Pokúsme sa podrobnejšie porozumieť tejto technológii a funkciám jej konfigurácie a použitia v rôznych verziách systému Windows.
obsah:
- Funkcie prístupu k zdieľaným sieťovým zložkám systému Windows
- Obmedzenia prístupu založené na prístupe
- Používanie ABE v systéme Windows Server 2008/2008 R2
- Konfigurácia vyčíslenia na základe prístupu v systéme Windows Server 2012 R2 / 2016
- Konfigurácia počítania založeného na prístupe v systéme Windows Server 2003
- Správa ABE z príkazového riadku
- Správa počítania založeného na prístupe pomocou PowerShell
- Vyčíslenie podľa prístupu v systéme Windows 10 / 8.1 / 7
Funkcie prístupu k zdieľaným sieťovým zložkám systému Windows
Jednou z nevýhod sieťových priečinkov Windows je skutočnosť, že v predvolenom nastavení všetci používatelia pri prezeraní obsahu zdieľaného priečinka mohli aspoň vidieť jeho štruktúru a zoznam súborov a adresárov v ňom obsiahnutých, vrátane tých, ktoré sú prístupné na úrovni NTFS. chýbajú (pri pokuse otvoriť takýto súbor alebo priečinok sa používateľovi zobrazí chyba prístupu „Prístup bol odmietnutý / prístup poprieť"). Prečo teda neskrývať pred používateľom tie adresáre a súbory, ku ktorým ešte nemá prístup? Technológia by mala pri tejto úlohe pomôcť. prístup založené výpočet (ABE). Povolením ABE v zdieľanom sieťovom priečinku môžete zaistiť, aby rôzni používatelia videli odlišný zoznam adresárov a súborov v tej istej zdieľanej sieti na základe prístupových práv jednotlivých používateľov k týmto zložkám (ACL).
Ako dochádza k interakcii medzi klientom a serverom pri prístupe do zdieľaného priečinka:
- Klient kontaktuje server so žiadosťou o prístup k adresáru, ktorý je predmetom záujmu v zdieľanom sieťovom priečinku;
- kancelária Server Lanman na serveri skontroluje, či má užívateľ prístupové práva k tomuto adresáru na úrovni povolení systému súborov NTFS;
- Ak je povolený prístup (zobraziť obsah / čítať / zapisovať), používateľ uvidí zoznam obsahu adresárov;
- Potom môže užívateľ otvoriť rovnaký súbor alebo podpriečinok rovnakým spôsobom (môžete vidieť, kto otvoril konkrétny súbor v sieťovom priečinku, ako je tento). Ak k priečinku nie je prístup, užívateľ dostane upozornenie.
Z tohto diagramu je zrejmé, že server najprv používateľovi zobrazí celý obsah priečinka a skontroluje prístupové práva k konkrétnemu objektu až po pokuse o prístup k jeho obsahu..
Funkcia ABE (En Based Based Based Enumeration) vám umožňuje implementovať riadenie prístupu k objektom systému súborov na o tom, ako sa používateľovi posiela zoznam obsahu priečinka. Do konečného zoznamu budú preto patriť iba tie objekty, na ktoré má užívateľ aspoň práva read na úrovni NTFS a všetky neprístupné zdroje sa jednoducho nezobrazia (skryjú).
tj užívateľ jedného oddelenia (napríklad skladu) v rovnakom sieťovom adresári (\\ filesrv1 \ docs) uvidí jeden zoznam priečinkov a súborov. Ako vidíte, používateľ zobrazí iba dva priečinky: Verejné a Sklad.
Používatelia iného oddelenia, napríklad IT (ktorí sú súčasťou inej skupiny zabezpečenia Windows), zobrazujú iný zoznam podadresárov. Okrem adresárov Public a Sklad je v sieťovom priečinku viditeľných ďalších 6 adresárov pre užívateľské dáta.
Hlavnou nevýhodou použitia ABE na súborových serveroch - ďalšie zaťaženie servera. Toto je obzvlášť cítiť na vysoko zaťažených súborových serveroch. Čím väčší je počet objektov v prezeranom adresári a čím viac používateľov v ňom otvára súbory, tým väčšie je oneskorenie. Podľa spoločnosti Microsoft, ak je v zobrazenom adresári 15 000 objektov (súborov a adresárov), rýchlosť otvárania priečinka sa spomaľuje o 1-3 sekundy. Z tohto dôvodu sa pri navrhovaní štruktúry zdieľaných priečinkov odporúča venovať veľkú pozornosť vytvoreniu jasnej a hierarchickej štruktúry podpriečinkov. V takom prípade bude spomalenie rýchlosti otvárania adresárov neviditeľné..
poznámka. Malo by byť zrejmé, že Access Based Enumeration neskrýva pred užívateľom zoznam zdieľaných sieťových zdrojov (gule) na súborovom serveri, ale pôsobí iba vo vzťahu k ich obsahu. Ak chcete skryť sieťový priečinok pred používateľom, pridajte symbol na koniec názvu zdieľaného priečinka $.Môžete ovládať ABE z príkazového riadku (obslužný program abecmd.exe), z GUI, PowerShell alebo pomocou špeciálneho API.
Obmedzenia prístupu založené na prístupe
Vyčíslenie prístupu v systéme Windows nefunguje v prípadoch:
- Ak sa ako súborový server používa systém Windows XP alebo Windows Server 2003 bez balíka Service Pack;
- Pri lokálnom prezeraní adresárov (priamo zo servera). Napríklad užívateľ pripájajúci sa k serveru RDS uvidí všetky miestne priečinky, ak sa tento server používa aj ako súborový server);
- Pre členov skupiny administrátorov lokálneho súborového servera (vždy vidia úplný zoznam súborov).
Používanie ABE v systéme Windows Server 2008/2008 R2
V systéme Windows Server 2008 / R2 použite túto funkciu prístup založené výpočet nemusia byť inštalované žiadne ďalšie komponenty, pretože Správa funkcií ABE je už integrovaná do používateľského rozhrania Windows. Ak chcete povoliť vyčíslenie založené na prístupe pre konkrétny priečinok v systéme Windows Server 2008/2008 R2, otvorte konzolu správy mmc Správa zdieľania a ukladania (Štart -> Programy -> Nástroje na správu -> Správa zdieľania a ukladania). Prejdite do okna vlastností požadovaných guličiek. Potom prejdite do okna rozšírených nastavení (tlačidlo pokročilý) a povolte možnosť Povoliť výpočet založený na prístupe.
Konfigurácia vyčíslenia na základe prístupu v systéme Windows Server 2012 R2 / 2016
Nastavenie ABE v systéme Windows Server 2012 R2 / 2016 je tiež jednoduché. Povoliť prístup založené výpočet Najprv musíte nainštalovať prirodzene úloha súborový server (File and Storage Services), a potom v konzole Server Manager prejdite na vlastnosti verejného priečinka.
A v sekcii nastavenie povoliť možnosť Povoliť výpočet založený na prístupe.
Konfigurácia počítania založeného na prístupe v systéme Windows Server 2003
V systéme Windows Server 2003 (s ukončenou výrobou) bola od tej doby podporovaná technológia ABE Service Pack1. Ak chcete povoliť Enumeration-based Enumeration v systéme Windows Server 2003 SP1 (a novšom), musíte si stiahnuť a nainštalovať balík _http: //www.microsoft.com/en-us/download/details.aspx? Id = 17510. Počas procesu inštalácie musíte určiť, či sa má automaticky povoliť ABE pre všetky zdieľané priečinky na serveri, alebo či sa konfigurácia bude vykonávať individuálne. Ak vyberiete druhú položku, po nainštalovaní balíka sa vo vlastnostiach zdieľaných priečinkov objaví nová karta Vyčíslenie na základe prístupu..
Ak chcete aktivovať ABE pre konkrétny priečinok, povoľte možnosť v jeho vlastnostiach Povoľte v tomto zdieľanom priečinku výpočet podľa prístupu.
Tiež si všimnite, že Windows 2003 podporuje použitie DFS založeného prístupu založeného na DFS, môžete ho však nakonfigurovať iba z príkazového riadku pomocou pomocného programu cacls..
Správa ABE z príkazového riadku
Nastavenia počítania založené na prístupe sa dajú ovládať z príkazového riadku pomocou pomocného programu Abecmd.exe. Táto utilita je súčasťou balíka Enumeration Enumeration pre Windows Server 2003 SP1 (vyššie uvedený odkaz).
užitočnosť Abecmd.exe umožňuje aktivovať ABE okamžite pre všetky adresáre alebo osobne. Nasledujúci príkaz umožní okamžité započítanie prístupu pre všetky lopty:
abecmd / enable / all
Alebo pre konkrétny priečinok (napríklad gule s názvom Docs):
abecmd / enable docs
Správa počítania založeného na prístupe pomocou PowerShell
Na riadenie nastavení prístupu založeného na prístupe pre konkrétne priečinky môžete použiť modul PowerBShell SMBShare (predvolene nainštalovaný v systéme Windows 10 / 8.1 a Windows Server 2016/2012 R2). Zoznam vlastností konkrétneho sieťového priečinka:
Inštalácia programu Get-SmbShare | fl *
Zaznamenajte si hodnotu atribútu FolderEnumerationMode. V našom prípade je to jeho hodnota - neobmedzený. To znamená, že ABE je pre tento priečinok vypnutá..
Môžete skontrolovať stav ABE pre všetky sieťové priečinky na serveri:
Get-SmbShare | Vyberte názov objektu, FolderEnumerationMode
Ak chcete povoliť ABE pre priečinok, postupujte takto:
Inštalácia programu Get-SmbShare | Set-SmbShare -FolderEnumerationMode AccessBased
Môžete povoliť počítanie založené na prístupe pre všetky publikované sieťové priečinky (vrátane administratívnej gule ADMIN $, C $, E $, IPC $), postupujte takto:
Inštalácia programu Get-SmbShare | Set-SmbShare -FolderEnumerationMode AccessBased
Ak chcete zakázať ABE, postupujte takto:
Inštalácia programu Get-SmbShare | Set-SmbShare -FolderEnumerationMode Unrestricted
Vyčíslenie podľa prístupu v systéme Windows 10 / 8.1 / 7
Mnoho používateľov, najmä v domácich sieťach, by tiež rád vedelo využívať funkciu počítania na základe prístupu. Problém je v tom, že v klientskom systéme Microsoft chýba grafické aj príkazové riadiace rozhranie pre výpočet výčtu.
V systémoch Windows 10 (Server 2016) a Windows 8.1 (Server 2012R2) môžete použiť PowerShell na riadenie výčtu založeného na prístupe (pozri vyššie uvedenú časť). V starších verziách systému Windows je potrebné nainštalovať najnovšiu verziu programu PowerShell (> = 5.0) alebo použiť pomocný program abecmd.exe z balíka pre systém Windows Server 2003, ktorý funguje dobre aj v klientskom OS. pretože balík Enumeration založený na systéme Windows Server 2003 nie je nainštalovaný v systéme Windows 10 / 8.1 / 7, musíte ho najskôr nainštalovať do systému Windows Server 2003 a potom ho skopírovať z adresára C: \ windows \ system32 do rovnakého adresára na klientovi. Potom môžete povoliť ABE podľa skriptu s príkazovým riadkom opísaným vyššie.
poznámka. V podnikovom prostredí ABE skvele spolupracuje so zložkami DFS, skrýva pred používateľom zbytočné priečinky a poskytuje pohodlnejšiu štruktúru stromu verejných priečinkov. ABE môžete povoliť v priestore názvov DFS pomocou konzoly DFS Management alebo pomocou nástroja dfsutil.exe:vlastnosť dfsutil abde enable \\
Okrem toho môžete povoliť ABE na počítačoch s doménou AD pomocou skupinových politík. GPP sa na tento účel používa v sekcii: Konfigurácia počítača -> Preferencie -> Nastavenia systému Windows -> Zdieľania v sieti).
Ako vidíte, vo vlastnostiach sieťového priečinka existuje možnosť prístup-založené výpočet, Ak zmeníte hodnotu na Enable, režim ABE bude povolený pre všetky verejné priečinky vytvorené pomocou tohto GPO.