Tehnologija Dostop-temelji Poštevanje (ABE - Prenos na podlagi dostopa) omogoča skrivanje datotek in map od uporabnikov v omrežnih virih v skupni rabi (kroglice), do katerih na ravni NTFS nimajo pravic za branje. Tako je mogoče zagotoviti dodatno zaupnost podatkov, shranjenih v omrežnem imeniku (s skrivanjem strukture in imen imenikov in datotek), izboljšati uporabnost za uporabnika, ki mu med delom z omrežnim imenikom ne bodo prikazane dodatne informacije (predvsem dostop, do katerega ima vse enako odsoten), in kar je najpomembneje, zaščitili bomo sistemskega skrbnika pred stalnimi vprašanji uporabnikov "zakaj me ne spusti v to mapo!!Poskusimo podrobneje razumeti to tehnologijo in značilnosti njene konfiguracije in uporabe v različnih različicah sistema Windows.
Vsebina:
- Značilnosti dostopa do mrežnih map Windows v skupni rabi
- Omejitve popisa na dostopu
- Uporaba programa ABE v operacijskem sistemu Windows Server 2008/2008 R2
- Konfigurirajte popis na podlagi dostopa v sistemu Windows Server 2012 R2 / 2016
- Konfigurirajte popis na podlagi dostopa v sistemu Windows Server 2003
- Upravljanje ABE iz ukazne vrstice
- Upravljanje naštevanja na podlagi dostopa s programom PowerShell
- Popis na podlagi dostopa v sistemu Windows 10 / 8.1 / 7
Značilnosti dostopa do mrežnih map Windows v skupni rabi
Ena izmed pomanjkljivosti omrežnih map Windows je dejstvo, da so privzeto vsi uporabniki ob ogledu vsebine skupne mape lahko videli vsaj njeno strukturo in seznam datotek in imenikov, ki so v njej, vključno s tistimi, do katerih je dostopen na ravni NTFS manjkajo (ko poskusite odpreti takšno datoteko ali mapo, uporabnik prejme napako v dostopu "Dostop je zavrnjen / Dostop Zavrnjeno") Torej, zakaj ne bi skrival od uporabnika tistih imenikov in datotek, do katerih še nima dostopa? Tehnologija bi morala pomagati pri tej nalogi Dostop Na osnovi Poštevanje (ABE). Z omogočanjem ABE v omrežni mapi v skupni rabi lahko zagotovite, da različni uporabniki vidijo različen seznam imenikov in datotek v isti omrežni skupni rabi na podlagi posameznih uporabniških pravic dostopa do teh map (ACL).
Kako poteka interakcija med odjemalcem in strežnikom pri dostopu do mape v skupni rabi:
- Odjemalec se obrne na strežnik z zahtevo za dostop do imenika, ki ga zanima, v omrežni mapi v skupni rabi;
- Storitev Lanmanov strežnik na strežniku preveri, ali ima uporabnik pravice dostopa do tega imenika na ravni dovoljenj datotečnega sistema NTFS;
- Če je dovoljen dostop (ogled vsebine / branje / pisanje), uporabnik vidi seznam vsebine imenika;
- Nato lahko uporabnik na enak način odpre določeno datoteko ali podmapo (lahko vidite, kdo je odprl določeno datoteko v mrežni mapi, kot je ta). Če do mape ni dostopa, uporabnik prejme obvestilo.
Iz tega diagrama je razvidno, da strežnik uporabniku najprej pokaže celotno vsebino mape in preveri dostopne pravice do določenega predmeta šele po poskusu dostopa do njegove vsebine.
Naštevanje na podlagi funkcionalnosti (ABE) omogoča izvajanje nadzora dostopa na objektih datotečnega sistema prej o tem, kako se uporabniku pošlje seznam vsebine mape. Zato bodo na končni seznam le tisti predmeti, do katerih ima uporabnik vsaj pravice Preberi na ravni NTFS in vsi nedostopni viri preprosto niso prikazani (skriti).
I.e. bo uporabnik enega oddelka (na primer skladišča) v istem omrežnem imeniku (\\ filesrv1 \ docs) prikazal en seznam map in datotek. Kot lahko vidite, uporabnik prikaže samo dve mapi: Javno in Sklad.
Uporabniki drugega oddelka, na primer IT (ki so vključeni v drugo varnostno skupino Windows), prikazujejo drugačen seznam poddirektorjev. Poleg omrežnih map Public in Sklad je v omrežni mapi za uporabniške podatke vidnih še 6 imenikov.
Glavna pomanjkljivost uporabe ABE na datotečnih strežnikih - dodatna obremenitev strežnika. To lahko še posebej občutimo na zelo naloženih datotečnih strežnikih. Večje je število predmetov v imeniku, ki si ga ogledujemo, in več uporabnikov odpre datoteke v njem, večja je zamuda. Po Microsoftovem mnenju, če je v prikazanem imeniku 15.000 predmetov (datotek in imenikov), se hitrost odpiranja mape upočasni za 1-3 sekunde. Zato je pri načrtovanju strukture deljenih map priporočljivo posvetiti veliko pozornosti ustvarjanju jasne in hierarhične strukture podmap, v tem primeru pa bo upočasnitev hitrosti odpiranja imenikov nevidna.
Opomba. Treba je razumeti, da popis na podlagi dostopa ne skriva pred uporabnikom seznama skupnih omrežnih virov (kroglice) na datotečnem strežniku, ampak deluje le glede na njihovo vsebino. Če želite od uporabnika skriti omrežno mapo, dodajte simbol na konec imena mape v skupni rabi $.ABE lahko upravljate iz ukazne vrstice (pripomoček) abecmd.exe), iz GUI, PowerShell ali prek posebnega API-ja.
Omejitve popisa na dostopu
Popis na podlagi dostopa v sistemu Windows ne deluje v primerih:
- Če se Windows XP ali Windows Server 2003 brez servisnega paketa uporablja kot datotečni strežnik;
- Pri ogledu imenikov lokalno (neposredno s strežnika). Na primer, uporabnik, ki se poveže s strežnikom RDS, bo videl vse lokalne mape, če je ta strežnik uporabljen tudi kot datotečni strežnik);
- Za člane skupine skrbnikov lokalnega datotečnega strežnika (vedno vidijo celoten seznam datotek).
Uporaba programa ABE v operacijskem sistemu Windows Server 2008/2008 R2
V operacijskem sistemu Windows Server 2008 / R2 za uporabo funkcije Dostop Na osnovi Poštevanje ni treba namestiti dodatnih komponent, kot Upravljanje funkcionalnosti ABE je že vgrajeno v uporabniški vmesnik Windows. Če želite omogočiti popisovanje na podlagi dostopa za določeno mapo v sistemu Windows Server 2008/2008 R2, odprite konzolo za upravljanje mmc Upravljanje z deljenjem in shranjevanjem (Začni -> Programi -> Skrbniška orodja -> Upravljanje z deljenjem in shranjevanjem). Pojdite v okno lastnosti želenih kroglic. Nato pojdite na okno z naprednimi nastavitvami (gumb Napredno) in omogočite možnost Omogoči popis na podlagi dostopa.
Konfigurirajte popis na podlagi dostopa v sistemu Windows Server 2012 R2 / 2016
Nastavitev ABE v Windows Server 2012 R2 / 2016 je tudi enostavna. Da omogočim Dostop Na osnovi Poštevanje najprej morate naravno namestiti vloga datotečni strežnik (Storitve datotek in shranjevanja), in nato v konzoli Upravitelja strežnikov pojdite na lastnosti javne mape.
In v razdelku Nastavitve omogoči možnost Omogoči popis na podlagi dostopa.
Konfigurirajte popis na podlagi dostopa v sistemu Windows Server 2003
V operacijskem sistemu Windows Server 2003 (ukinjeno) je od takrat podprta tehnologija ABE Servisni paket1. Če želite v Windows Server 2003 SP1 (ali novejši) omogočiti naštevanje na podlagi dostopa, morate prenesti in namestiti paket _http: //www.microsoft.com/en-us/download/details.aspx? Id = 17510. Med postopkom namestitve morate določiti, ali želite samodejno omogočiti ABE za vse mape v skupni rabi na strežniku ali se bo konfiguracija izvedla posamično. Če je izbran drugi element, se bo po namestitvi paketa v lastnostih skupnih map pojavil nov zavihek Popis, ki temelji na dostopu..
Če želite aktivirati ABE za določeno mapo, omogočite možnost v njenih lastnostih Omogoči popis na podlagi dostopa v tej mapi v skupni rabi.
Upoštevajte tudi, da Windows 2003 podpira uporabo zbirke na podlagi DFS, ki temelji na dostopu, vendar ga lahko konfigurirate samo v ukazni vrstici s pomočjo pripomočka cacls.
Upravljanje ABE iz ukazne vrstice
Nastavitve popisovanja na podlagi dostopa lahko upravljate iz ukazne vrstice s pomočjo pripomočka Abecmd.exe. Ta pripomoček je vključen v paketu Poštevanje na osnovi dostopa za Windows Server 2003 SP1 (povezava zgoraj).
Uporabnost Abecmd.exe vam omogoča, da takoj aktivirate ABE za vse imenike ali osebno. Naslednji ukaz bo takoj omogočil popis na podlagi dostopa za vso žogo:
abecmd / omogoči / vse
Ali za določeno mapo (na primer kroglice z imenom Dokumenti):
abecmd / omogoči dokumente
Upravljanje naštevanja na podlagi dostopa s programom PowerShell
Za nadzor nastavitev popisa za dostop do določenih map lahko uporabite modul PowerBShell SMBShare (privzeto je nameščen v sistemih Windows 10 / 8.1 in Windows Server 2016/2012 R2). Navedite lastnosti določene omrežne mape:
Get-SmbShare Namestitev | fl *
Upoštevajte vrednost atributa FolderEnumerationMode. V našem primeru njegova vrednost - Neomejeno. To pomeni, da je za to mapo onemogočen ABE..
Stanje ABE lahko preverite za vse omrežne mape strežnika:
Get-SmbShare | Izberi-ime predmeta, FolderEnumerationMode
Če želite omogočiti ABE za mapo, naredite:
Get-SmbShare Namestitev | Set-SmbShare -FolderEnumerationMode AccessBrozen
Za vse objavljene omrežne mape (vključno z administrativno žogo ADMIN $, C $, E $, IPC $) lahko omogočite Poštevanje na podlagi dostopa:
Get-SmbShare Namestitev | Set-SmbShare -FolderEnumerationMode AccessBrozen
Če želite onemogočiti ABE, naredite:
Get-SmbShare Namestitev | Set-SmbShare -FolderEnumerationMode Neomejeno
Popis na podlagi dostopa v sistemu Windows 10 / 8.1 / 7
Številni uporabniki, še posebej v domačih omrežjih, bi radi uporabljali tudi funkcijo Enumeration na podlagi dostopa. Težava je v tem, da v Microsoftovem odjemalčevem operacijskem operacijskem sistemu ni grafičnega in vmesnika za upravljanje popisovanja na osnovi ukaza.
V sistemih Windows 10 (Server 2016) in Windows 8.1 (Server 2012R2) lahko s programom PowerShell nadzorujete popisovanje na podlagi dostopa (glejte zgornji razdelek). V starejših različicah sistema Windows morate namestiti najnovejšo različico PowerShell (> = 5.0) ali uporabiti pripomoček abecmd.exe iz paketa za Windows Server 2003, saj deluje dobro v operacijskih sistemih odjemalcev. Ker Paket za popisovanje, ki temelji na dostopu za Windows Server 2003, ni nameščen v sistemu Windows 10 / 8.1 / 7, najprej ga morate namestiti v sistem Windows Server 2003 in ga nato kopirati iz imenika C: \ windows \ system32 v isti imenik na odjemalcu. Po tem lahko omogočite ABE v skladu s skriptom z zgoraj opisano ukazno vrstico.
Opomba. V korporativnem okolju ABE čudovito sodeluje z mapami DFS, pri čemer skriva nepotrebne mape od uporabnika in zagotavlja bolj priročno strukturo drevesa javnih map. ABE lahko omogočite v imenskem prostoru DFS s konzolo za upravljanje DFS ali pripomočkom dfsutil.exe:dfsutil lastnost abde enable \\
Poleg tega lahko omogočite ABE na računalnikih domene AD z uporabo skupinskih pravilnikov. GPP je za to uporabljen v razdelku: Konfiguracija računalnika -> Nastavitve -> Nastavitve sistema Windows -> Omrežne delnice).
Kot lahko vidite, obstaja možnost v lastnosti omrežne mape Dostop-Na osnovi Poštevanje, če spremenite vrednost v Enable, bo način ABE omogočen za vse javne mape, ustvarjene s to GPO.