Как Windows Server 2008 дава възможност на администраторите да скриват файлове и папки от потребителите които нямат права да четат тези обекти.

В голяма корпоративна мрежова среда където многото отдели има отделни споделени папки само за тяхно ползване се налага потребителите на файловите сървъри да имат достъп само до споделените файлове и документи от техният отдел.
Access-based Enumeration (ABE) е нова възможност (feature) която e част от File Server ролята в Windows Server 2008 (За Windows Server 2003 SP1 може да се изтегли допълнително от сайта на Microsoft). ABE дава възможност на администраторите на файловият сървър да скрият обектите до които потребителя няма достъп (права за четене). Когато на споделената папка (share folder) е разрешена тази функция на потребителя “логнал” се на файловият сървър ще се изведе лист с папките и файловете до които той има достъп. Ако за дадена папка или файл от съществуващите в споделената папка потребителя няма права за четене, то автоматично тази папка ще бъде скрита. Активна е само когато се отварят папки и файлове през споделена папка (Server Message Block  – SMB shares), и не е активна ако тези файлове и папки се достъпват чрез локалната файлова система.

Идеята на Access-based Enumeration

Скриването на файлове и папки до които потребителя няма достъп може да предпази конфиденциалната информация от “любопитни потребители”(някои от тях може да са и с лоши намерения). Ако не е активирана тази функционалност тогава на “любопитният потребител” ще му се покаже папката до която няма права и при опит да я отвори ще му се изведе съобщение за отказан достъп. ABE предпазва точно от опитите на “любопитните потребители” да достъпват класифицираната информация намиращата се в споделените папки.

Другото преимущество на ABE е, че поддържа споделената папка по чиста и потребителите виждат само това до което имат право на достъп. Така не се получават ненужни обаждания до ИТ поддръжката свързани с това, че потребителя не може да отвори папка и излишни обяснения към потребителя, че информацията в тази папка която се опитва да отвори не е предназначена за него.

Кога е въведена и в кои операционни системи се използва

Тази функция можете да използвате във Windows Server 2003 SP1 след като направите допълнителна инсталация. В Windows Server 2008 и по-новите операционни сървърни системи тази функция е вградена.

Как се активира или деактивира Access Based Enumaration (ABE)

В Windows Server 2008 има два варианта за активиране или деактивиране на тази функция.

През конзолата “Share and Storage management”

На таба Shares от Share and Storage management се избира споделената папка на която искаме да активираме/деактивираме опцията. След това се избира Properties от десният панел (Action pane). От появилият се прозорец се избира бутона Advanced.. Следва нов диалогов прозорец в който се намира опцията Enable access-based enumeration.

Share and Storage management

През конзолата DFS Managment

Разпъва се списъка Namespaces от лявата колона. В него са описани всички  споделени папки на сървъра на който се намираме. Избира се споделената папка на която искаме да активираме/деактивираме опцията. След това се избира Properties от десният панел (Action pane). От появилият се прозорец се влиза в таб Advanced и най-долу се намира опцията Enable access-based enumeration for this namespace.

DFS Managment - Enable Access Based Enumaration

В кои случай може да се използва

Сценарии 1 – на файловият сървър се намират работните файлове на няколко отдела. Всеки отдел си има собствена папка в която другите нямат достъп и не виждат. Също така трябва да се реши въпроса с достъпа до файлове до които ще трябва да имат достъп за отделни проекти по няколко отдели.

Ако не използваме ABE и за да постигнем целта ще трябва да направим толкова споделени папки колкото са отделите. За всеки отдел по една споделена папка. На всеки от потребителите да му даваме достъп чрез мрежово устройство до споделената папка на неговият отдел. Права за четене на всяка споделена папка ще имат потребителите от отдела за който е папката. Така никой от другите отдели няма да има достъп до документите на чуждите отдели.

Втората част от условието е по-сложна. В някои случаи може да се създаде една обща споделена папка в която всички да имат достъп и там да добавят общите проекти. Друг вариант е за всеки проект да се създава отделна споделена папка и до нея да се дава достъп само на отделите които трябва да имат достъп. В случай че проектите ще са повече така реализирана втората част от условието ще създаде в бъдеще повече работа за ИТ отдела.

Ако използва ABE можем да бъдем по-гъвкави като първо ще направим една споделена папка в която ще се създадат папки за всеки отдел. За всяка папка ще има настроени такива права, че само потребителите от отдела на който принадлежи да имат достъп до нея. След като се включи функция ABE на споделената папка всички потребители ще имат възможност да виждат само файловете от собствените си отдели. В този случай само до тук се спестяват няколко процеса от работата която ще трябва да извърши ИТ отдела.

Втората част също може да се реализира елегантно, като за всеки нов проект се създава по една папка в основната споделена папка. Върху тази папка ИТ отдела ще настрои права за достъп само на оторизираните потребители. Така потребител X от отдел Y който работи и по проект Z когато отвори споделената папка в нея ще види списък само на папки и файлове на отдела му Y и проекта Z. В този случай лесно може да се даде достъп на управленският персонал да вижда също цялата структура на споделената папка където се намират файловете и папките  на отделите и проектите.

Сценарии 2 – На файлов сървър се намират личните папки на всички потребители. Трябва всеки потребител да вижда само своите данни.

Ако не ползваме ABE – тогава ще трябва да се направи една основна споделена папка в която да се съхраняват личните папки на всички потребители. На всяка от личните папки ще трябва да се настрои права да има само нейният собственик. За да не се вижда списъка с всички папки тогава на всеки потребител ще трябва да се добавя като мрежово дисково устройсво (Network Map) следното “\\ServerName\Users\UserName” където Users е основната споделена папка в която се съхраняват всички останали лични папки. В този случай ако някой потребител влезе директно в “\\ServerName\Users” то той ще види списък с папките на всички останали потребители, но няма да може да влезе в никоя друга освен в неговата.

Ако използваме ABE стъпките са подобни но с малко опростяване и намаляване на броя операции които трябва да се извършат от ИТ отдела. Структурата и подредбата на потребителските папки остава същата. Разликата идва в това, че на основната споделена папка се включва функцията ABE и на всички потребители се дава възможност да влизат в “\\ServerName\Users”. В този случай потребител X като отвори “\\ServerName\Users” ще открие в списъка единствено личната си папка.

От всичко това до тук следва да направим извода, че използването на Access Based Enumaration е задължително за големи и динамични компании където ИТ специалистите не могат да си позволят загуба на време в работният процес. Тази функция е създадена да улесни тяхното ежедневие и затова в Windows Server 2008 е разрешена на всички споделени папки които се създават по-подразбиране. Не е разрешена в някои специални случаи като Admin Shares (C$, Admin$).