technológia hozzáférés-székhelyű felsorolás (ABE - Hozzáférés alapú átvitel) lehetővé teszi, hogy elrejtse a fájlokat és mappákat a felhasználóktól azon megosztott hálózati erőforrásokon (golyókon), amelyekhez NTFS szinten nem rendelkeznek olvasási hozzáférési jogokkal. Így lehetőség van a hálózati könyvtárban tárolt adatok további bizalmas kezelésére (a könyvtárak és fájlok szerkezetének és nevének elrejtésével), hogy javítsuk a használhatóságot azon felhasználó számára, akinek a hálózati címtárral végzett munka során nem jelennek meg további információk (különösen, mivel minden szintén hiányzik), és ami a legfontosabb: megóvjuk a rendszergazdát az állandó felhasználói kérdésekkel szemben "miért nem enged be ebbe a mappába!!"Próbáljuk meg részletesebben megérteni ezt a technológiát, valamint annak konfigurációjának és a Windows különféle verzióiban való felhasználásának jellemzőit.
Tartalom:
- A Windows megosztott hálózati mappáihoz való hozzáférés jellemzői
- Hozzáférés alapú számlálási korlátozások
- Az ABE használata a Windows Server 2008/2008 R2 rendszerben
- Konfigurálja a hozzáférés alapú felsorolást a Windows Server 2012 R2 / 2016 rendszeren
- Konfigurálja a hozzáférés alapú felsorolást a Windows Server 2003 rendszeren
- Az ABE kezelése a parancssorból
- A hozzáférés alapú számlálás kezelése a PowerShell segítségével
- Hozzáférés-alapú felsorolás Windows 10 / 8.1 / 7 rendszeren
A Windows megosztott hálózati mappáihoz való hozzáférés jellemzői
A Windows hálózati mappák egyik hátránya, hogy alapértelmezés szerint minden felhasználó megosztott mappa tartalmának megtekintésekor legalább láthatja annak szerkezetét, valamint a benne lévő fájlok és könyvtárak listáját, beleértve az NTFS szintű hozzáférést is hiányoznak (amikor megpróbál megnyitni egy ilyen fájlt vagy mappát, a felhasználó hozzáférési hibát kap "A hozzáférés megtagadva / hozzáférés tiltott"). Tehát miért nem rejti el a felhasználó előtt azokat a könyvtárakat és fájlokat, amelyekhez még mindig nem fér hozzá? A technológiának segítenie kell ebben a feladatban hozzáférés székhelyű felsorolás (ABE). Ha engedélyezi az ABE-t egy megosztott hálózati mappában, akkor biztosíthatja, hogy a különböző felhasználók ugyanazon hálózati megosztásban eltérő könyvtárakat és fájlokat jelenítsenek meg, e mappák (ACL) felhasználói hozzáférési jogainak alapján..
Hogyan történik az ügyfél és a kiszolgáló közötti interakció a megosztott mappához való hozzáféréskor:
- Az ügyfél felveszi a kapcsolatot a kiszolgálóval, hogy hozzáférést kérjen a megosztott hálózati mappában lévő érdeklődő könyvtárhoz;
- iroda Lanman szerver a szerveren ellenőrzi, hogy a felhasználónak van-e hozzáférési joga e könyvtárhoz az NTFS fájlrendszer engedélyszintjén;
- Ha a hozzáférés engedélyezett (tartalom megtekintése / olvasás / írás), akkor a felhasználó megjeleníti a könyvtár tartalmának listáját;
- Ezután a felhasználó ugyanolyan módon megnyithat egy adott fájlt vagy almappát (láthatja, hogy ki nyitott egy adott fájlt egy ilyen hálózati mappában). Ha nincs hozzáférés a mappához, a felhasználó értesítést kap.
Ebből a diagramból egyértelmű, hogy a kiszolgáló először megmutatja a felhasználónak a mappa teljes tartalmát, és csak azután ellenőrzi egy adott objektumhoz való hozzáférési jogokat, miután megpróbált hozzáférni annak tartalmához..
A funkcionalitás alapú felsorolás (ABE) lehetővé teszi a hozzáférés-vezérlés végrehajtását a fájlrendszer-objektumokon hogy arról, hogy a mappa tartalomjegyzéke hogyan kerül elküldésre a felhasználónak. Ezért csak azok az objektumok kerülnek a végső listába, amelyekre a felhasználónak legalább joga van Olvasás NTFS szinten, és minden elérhetetlen erőforrás egyszerűen nem jelenik meg (rejtett).
Ie ugyanabban a hálózati könyvtárban (\\ filesrv1 \ docs) található egy osztály (például egy raktár) felhasználói egy mappák és fájlok listáját fogják látni. Mint láthatja, a felhasználó csak két mappát jelenít meg: Nyilvános és Sklad.
Más részlegek, például az informatikai felhasználók (akik egy másik Windows biztonsági csoportba tartoznak), az alkönyvtárak más listáját jelenítik meg. A nyilvános és a Sklad könyvtárakon kívül további 6 könyvtár látható a hálózati mappában a felhasználói adatok számára.
Az ABE fájlkiszolgálón történő alkalmazásának fő hátránya - további szerver betöltése. Ez különösen a nagymértékben betöltött fájlkiszolgálókon érzékelhető. Minél több objektum van a megtekintett könyvtárban, és minél több felhasználó nyit fájlokat rajta, annál nagyobb a késés. A Microsoft szerint, ha 15 000 objektum (fájlok és könyvtárak) található a megjelenített könyvtárban, a mappa megnyitásának sebessége 1-3 másodperccel lelassul. Ezért javasoljuk, hogy a megosztott mappák szerkezetének megtervezésekor nagy figyelmet szenteljen az almappák egyértelmű és hierarchikus struktúrájának kialakításának, ebben az esetben a könyvtárak megnyitásának lassulása láthatatlan lesz..
megjegyzés. Meg kell érteni, hogy az Access Based Enumeration nem rejti el a felhasználótól a fájlkiszolgálón található megosztott hálózati erőforrások (labda) listáját, hanem csak azok tartalmára vonatkozik. Ha el akarja rejteni a hálózati mappát a felhasználótól, akkor adja hozzá a szimbólumot a megosztott mappa nevének végéhez $.Az ABE-t a parancssorból vezérelheti (segédprogram abecmd.exe), a GUI-ből, a PowerShellből vagy egy speciális API-n keresztül.
Hozzáférés alapú számlálási korlátozások
A hozzáférési alapú felsorolás Windows rendszeren nem működik:
- Ha Windows XP vagy Windows Server 2003 szervizcsomag nélkül kerül fájlkiszolgálóra;
- A könyvtárak helyi (közvetlenül a szerverről) megtekintésekor. Például egy RDS szerverhez csatlakozó felhasználó látni fogja az összes helyi mappát, ha ezt a szervert fájlkiszolgálóként is használják);
- A helyi fájlkiszolgáló adminisztrátorok csoportjának tagjai (mindig látják a fájlok teljes listáját).
Az ABE használata a Windows Server 2008/2008 R2 rendszerben
A Windows Server 2008 / R2 rendszerben a funkció használatához hozzáférés székhelyű felsorolás további alkatrészeket nem kell telepíteni, pl Az ABE funkcionalitáskezelés már integrálva van a Windows grafikus felhasználói felületébe. A Windows Server 2008/2008 R2 adott mappájához való hozzáférés-alapú felsorolás engedélyezéséhez nyissa meg a mmc felügyeleti konzolt Megosztás és tároláskezelés (Start -> Programok -> Felügyeleti eszközök -> Megosztás és tároláskezelés). Lépjen a kívánt golyók tulajdonságai ablakba. Ezután lépjen a speciális beállítások ablakba (gomb fejlett) és engedélyezze az opciót Engedélyezze a hozzáférés alapú felsorolást.
Konfigurálja a hozzáférés alapú felsorolást a Windows Server 2012 R2 / 2016 rendszeren
Az ABE beállítása a Windows Server 2012 R2 / 2016 rendszerben szintén egyszerű. Engedélyezni hozzáférés székhelyű felsorolás először természetesen telepítenie kell a szerepet fájlszerver (Fájl- és tárolási szolgáltatások), majd a Server Manager konzolban keresse meg a nyilvános mappa tulajdonságait.
És a szakaszban Beállítások engedélyezési lehetőség Engedélyezze a hozzáférés alapú felsorolást.
Konfigurálja a hozzáférés alapú felsorolást a Windows Server 2003 rendszeren
A Windows Server 2003 rendszerben (megszűnt) az ABE technológiát azóta támogatják 1. szervizcsomag. Az Access-alapú felsorolás engedélyezéséhez a Windows Server 2003 SP1 (és újabb) verziójában le kell töltenie és telepítenie kell a _http csomagot: //www.microsoft.com/en-us/download/details.aspx? Id = 17510. A telepítési folyamat során meg kell határoznia, hogy engedélyezi-e az ABE automatikusan a kiszolgálón lévő összes megosztott mappára, vagy a konfigurációt külön-külön végzi el. Ha a második elemet választja, akkor a csomag telepítése után egy új hozzáférés-alapú felsorolás lap jelenik meg a megosztott mappák tulajdonságaiban.
Az ABE aktiválásához egy adott mappában engedélyezze a lehetőséget a tulajdonságai között Engedélyezze a hozzáférési alapú felsorolást ezen a megosztott mappán.
Vegye figyelembe azt is, hogy a Windows 2003 támogatja a DFS-alapú hozzáférés-alapú felsorolás használatát, azonban csak a parancssorból konfigurálhatja a cacls segédprogrammal.
Az ABE kezelése a parancssorból
A hozzáférés alapú számlálási beállítások a parancssorból az Abecmd.exe segédprogrammal vezérelhetők. Ez a segédprogram a Windows Server 2003 SP1 hozzáférés-alapú felsoroláscsomagjában található (fenti link).
hasznosság Abecmd.exe lehetővé teszi az ABE azonnali aktiválását minden könyvtárban vagy személyesen. A következő parancs az összes golyóhoz azonnal lehetővé teszi a hozzáférés-alapú felsorolást:
abecmd / engedélyezés / minden
Vagy egy adott mappához (például a Docs névvel ellátott golyókhoz):
abecmd / enable docs
A hozzáférés alapú számlálás kezelése a PowerShell segítségével
Az egyes mappák hozzáférésen alapuló számlálási beállításainak vezérléséhez használhatja a PowerBShell SMBShare modult (alapértelmezés szerint telepítve a Windows 10 / 8.1 és a Windows Server 2016/2012 R2). Sorolja fel egy adott hálózati mappa tulajdonságait:
Get-SmbShare telepítés | fl *
Vegye figyelembe az attribútum értékét FolderEnumerationMode. Esetünkben annak értéke - korlátlan. Ez azt jelenti, hogy az ABE le van tiltva ebben a mappában..
Ellenőrizheti az ABE állapotot a kiszolgáló összes hálózati mappájában:
Get-SmbShare | Select-Object Name, FolderEnumerationMode
Az ABE engedélyezéséhez egy mappában tegye a következőket:
Get-SmbShare telepítés | Set-SmbShare -FolderEnumerationMode AccessBased
Engedélyezheti az Access Based Enumeration összes közzétett hálózati mappát (beleértve az ADMIN $, C $, E $, IPC $ adminisztratív labdákat is), tegye:
Get-SmbShare telepítés | Set-SmbShare -FolderEnumerationMode AccessBased
Az ABE letiltásához tegye a következőket:
Get-SmbShare telepítés | A Set-SmbShare -FolderEnumerationMode korlátlan
Hozzáférés-alapú felsorolás Windows 10 / 8.1 / 7 rendszeren
Sok felhasználó, különösen az otthoni hálózatokban, szintén szeretné használni az Access-Based Enumeration funkciót. A probléma az, hogy a Microsoft kliens operációs rendszerben hiányzik mind a grafikus, mind a parancs alapú hozzáférés-alapú felsoroláskezelő felület.
Windows 10 (Server 2016) és Windows 8.1 (Server 2012R2) rendszereken a PowerShell használatával vezérelheti az Access alapú felsorolást (lásd a fenti részt). A Windows régebbi verzióiban telepítenie kell a PowerShell legújabb verzióját (> = 5.0), vagy a abecmd.exe segédprogramot kell használnia a Windows Server 2003 csomaghoz, ez jól működik az ügyfél operációs rendszerén is. mert a Windows Server 2003 Access alapú felsoroláscsomagot nem telepíti a Windows 10 / 8.1 / 7 rendszerre, először a Windows Server 2003 rendszerre kell telepítenie, majd a C: \ Windows \ system32 könyvtárból a kliens ugyanazon könyvtárába másolni. Ezt követően engedélyezheti az ABE-t a szkript szerint a fentebb leírt parancssorral.
megjegyzés. Vállalati környezetben az ABE csodálatosan működik a DFS mappákkal, elrejti a „felesleges” mappákat a felhasználótól, és kényelmesebb struktúrát biztosít a nyilvános mappák számára. Az ABE engedélyezhető a DFS névtérben a DFS felügyeleti konzol vagy a dfsutil.exe segédprogram segítségével:dfsutil tulajdonság abde enable \\
Ezenkívül a csoportházirendek segítségével engedélyezheti az ABE szolgáltatást az AD tartománybeli számítógépeken. A GPP-t erre a szakaszra használják: Számítógép konfigurációja -> Preferences -> Windows beállítások -> Hálózati megosztások).
Mint láthatja, van egy lehetőség a hálózati mappa tulajdonságaiban hozzáférés-székhelyű felsorolás, Ha az értéket Enable-re változtatja, az ABE mód minden ezen nyilvános csoportházirend-objektummal létrehozott nyilvános mappába engedélyezve lesz.