Пошаговое руководство по использованию ABE на файловом сервере.
В этом руководстве я рассмотрю использование ABE на файловом сервере (fileserv.polygon.local) в домене (polygon.local). Чтобы Вы понимали, что есть ABE (Access-based Enumeration), это ограничение на просмотр пользователям только тех каталогов, файлов на которые у них предоставлены права исходя из сетевого ресурса.
Имеем файловый сервер fileserv.polygon.local на базе Windows Server 2008 R2 Std.
C:\Users\ekzorchik> ipconfig
IPv4 Address . . . . . . . . . . . : 10.0.2.18
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 10.0.3.15
Имя хоста : fileserv.polygon.local
Собственно домен контроллер (dc1.polygon.local), где собственно будут заведены учётные записи и группы ограниченного доступа.
И так основные данные у нас есть, приступим к пошаговому расписанию всего процесса:
Зайдём на домен контроллер (dc1.polygon.local) под учётной записью с правами Администратора домена (Domain Admins), после запустим окно командной строки с правами Администратора.
Т.к. я приверженец командной строки, то и соответственно и создавать пользователей будет через консоль.
Создадим, к примеру, двух пользователей :
C:\Windows\system32> dsadd user «cn=rtest,OU=IT,dc=polygon,dc=local» | dsmod user «cn=rtest,ou=IT,dc=polygon,dc=local» -pwd Aa1234567 -disabled no
C:\Windows\system32> dsadd user «cn=wtest,ou=IT,dc=polygon,dc=local» | dsmod user «cn=wtest,ou=IT,dc=polygon,dc=local» -pwd Aa1234567 -disabled no
Создадим две группы с наименование отражающим выдаваемые права на файловом ресурсе :
C:\Windows\system32> dsadd group «CN=FileServ_Read,OU=IT,DC=polygon,DC=local»
C:\Windows\system32> dsadd group «CN=FileServ_Write,OU=IT,DC=polygon,DC=local»
Включим учётные записи в свои группы :
Rtest -> в Fileserv_Read
Wtest -> в FileServ_Write
C:\Windows\system32> dsmod group «CN=FileServ_Read,OU=IT,dc=polygon,dc=local» -addmbr «cn=rtest,ou=it,dc=polygon,dc=local»
C:\Windows\system32> dsmod group «CN=FileServ_Write,OU=IT,dc=polygon,dc=local» -addmbr «cn=wtest,ou=it,dc=polygon,dc=local»
На файловом сервере (fileserv.polygon.local) создадим шару, раздадим права и активируем функционал Access-based Enumeration (ABE):
C:\Users\ekzorchik> mkdir c:\shara
C:\Users\ekzorchik> net share vols=c:\shara /GRANT:Everyone,FULL
Отключим наследование для этой папки :
C:\Users\ekzorchik> icacls c:\shara /inheritance:d
Добавим право на получения листинга каталогов на каталог shara, выставим третью галочку для наших групп:
(List folder / read data)
См. скриншот, как должно получиться:
Внутри каталога c:\shara создадим две папки read & write, на каждую из них дадим права группе FileServ_Read права на чтение, FileServ_Write права на запись. Итог должен получиться таким, как указано на скриншоте ниже:
C :\ shara \ read – права только для чтения группе FileServ _ Read
C :\ shara \ write – права только для чтения группе FileServ _ Write
И так создали шару, назначили ей необходимые права, а теперь перейдём к включению функционала ABE :
«Start» – «Control Panel» – «Administrative Tools» – «Share and Storage Management»
В основном окне перечислены текущие шары на сервере , выбираем нашу c:\shara и открываем её свойства (Properties), согласно скриншоту ниже:
Переходим в пункт Advanced.. и включаем галочку “Enable access-based enumeration”
Нажимаем кнопку “OK” – “Apply” – и ещё раз “OK” принятия наших изменений.
После активации ABE, файловый сервер начинает проверять права пользователя на ресурсы ДО ТОГО, как высылает клиенту список имеющихся в общей папке ресурсов. Соответственно, в список попадают только те файлы и папки, которые пользователь может открыть, и ничего лишнего пользователь больше не видит.
Всё можно начинать пользоваться:
К примеру, из под пользователя с учётной записью rtest обратимся к файловом ресурсу fileserv.polygon.local:
\\fileserv.polygon.local\vols и видим, только каталог read
Из всего перечисленного и продемонстрированного данной заметки можно перенастроить уже имеющиеся файловые ресурсы и привести к виду, что пользователи видят и работают только с теми документами, которые им нужны для выполнения своих обязанностей и не более и не менее. На этом всё, удачи.
Используйте прокси ((заблокировано роскомнадзором, используйте vpn или proxy)) при использовании Telegram клиента:
Поблагодари автора и новые статьи
будут появляться чаще 🙂
Карта МКБ: 4432-7300-2472-8059
Yandex-деньги: 41001520055047
Большое спасибо тем кто благодарит автора за практические заметки небольшими пожертвованиями. С уважением, Олло Александр aka ekzorchik.
Enable access-based enumeration on a namespace
Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008
Access-based enumeration hides files and folders that users do not have permissions to access. By default, this feature is not enabled for DFS namespaces. You can enable access-based enumeration of DFS folders by using DFS Management. To control access-based enumeration of files and folders in folder targets, you must enable access-based enumeration on each shared folder by using Share and Storage Management.
To enable access-based enumeration on a namespace, all namespace servers must be running Windows ServerВ 2008 or newer. Additionally, domain-based namespaces must use the Windows ServerВ 2008 mode. For information about the requirements of the Windows ServerВ 2008 mode, see Choose a Namespace Type.
In some environments, enabling access-based enumeration can cause high CPU utilization on the server and slow response times for users.
If you upgrade the domain functional level to Windows ServerВ 2008 while there are existing domain-based namespaces, DFS Management will allow you to enable access-based enumeration on these namespaces. However, you will not be able to edit permissions to hide folders from any groups or users unless you migrate the namespaces to the Windows ServerВ 2008 mode. For more information, see Migrate a Domain-based Namespace to Windows Server 2008 Mode.
To use access-based enumeration with DFS Namespaces, you must follow these steps:
- Enable access-based enumeration on a namespace
- Control which users and groups can view individual DFS folders
Access-based enumeration does not prevent users from getting a referral to a folder target if they already know the DFS path. Only the share permissions or the NTFS file system permissions of the folder target (shared folder) itself can prevent users from accessing a folder target. DFS folder permissions are used only for displaying or hiding DFS folders, not for controlling access, making Read access the only relevant permission at the DFS folder level. For more information, see Using Inherited Permissions with Access-Based Enumeration
To enable access-based enumeration by using the Windows interface
In the console tree, under the Namespaces node, right-click the appropriate namespace and then click Properties .
Click the Advanced tab and then select the Enable access-based enumeration for this namespace check box.
To enable access-based enumeration by using a command line
Open a command prompt window on a server that has the Distributed File System role service or Distributed File System Tools feature installed.
Type the following command, where is the root of the namespace:
To manage access-based enumeration on a namespace by using Windows PowerShell, use the Set-DfsnRoot, Grant-DfsnAccess, and Revoke-DfsnAccess cmdlets. The DFSN Windows PowerShell module was introduced in Windows Server 2012.
You can control which users and groups can view individual DFS folders either by using the Windows interface or by using a command line.
To control folder visibility by using the Windows interface
In the console tree, under the Namespaces node, locate the folder with targets for which you want to control visibility, right-click it and then click Properties.
Click the Advanced tab.
Click Set explicit view permissions on the DFS folder and then Configure view permissions.
Add or remove groups or users by clicking Add or Remove.
To allow users to see the DFS folder, select the group or user, and then select the Allow check box.
To hide the folder from a group or user, select the group or user, and then select the Deny check box.
To control folder visibility by using a command line
Open a Command Prompt window on a server that has the Distributed File System role service or Distributed File System Tools feature installed.
Type the following command, where is the path of the DFS folder (link), is the name of the group or user account, and (. ) is replaced with additional Access Control Entries (ACEs):
For example, to replace existing permissions with permissions that allows the Domain Admins and CONTOSO\Trainers groups Read (R) access to the \contoso.office\public\training folder, type the following command:
To perform additional tasks from the command prompt, use the following commands:
Включение перечисления на основе доступа для пространства имен Enable access-based enumeration on a namespace
Область применения: Windows Server 2019, Windows Server (половина ежегодного канала), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008 Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008
Перечисление на основе доступа позволяет скрыть файлы и папки, на доступ к которым у пользователей нет разрешения. Access-based enumeration hides files and folders that users do not have permissions to access. По умолчанию для пространств имен DFS эта функция отключена. By default, this feature is not enabled for DFS namespaces. Включить перечисление на основе доступа для папок DFS можно с помощью оснастки «Управление DFS». You can enable access-based enumeration of DFS folders by using DFS Management. Для управления перечислением на основе доступа файлов и папок в конечных объектах папок необходимо включить перечисление на основе доступа в каждой общей папке с помощью оснастки «Управление общими ресурсами и хранилищами». To control access-based enumeration of files and folders in folder targets, you must enable access-based enumeration on each shared folder by using Share and Storage Management.
Для включения перечисления на основе доступа для пространства имен все серверы пространства имен должны работать под управлением Windows Server 2008 или более поздней версии. To enable access-based enumeration on a namespace, all namespace servers must be running Windows Server 2008 or newer. Кроме того, для доменных пространств имен должен использоваться режим Windows Server 2008. Additionally, domain-based namespaces must use the Windows Server 2008 mode. Сведения о требованиях режима Windows Server 2008 см. в разделе Выбор типа пространства имен. For information about the requirements of the Windows Server 2008 mode, see Choose a Namespace Type.
В некоторых средах включение перечисления на основе доступа может привести к высокой загрузке ЦП на сервере и замедлением отклика для пользователей. In some environments, enabling access-based enumeration can cause high CPU utilization on the server and slow response times for users.
Если вы обновите режим работы домена до Windows Server 2008 при наличии существующих доменных пространств имен, оснастка «Управление DFS» позволит включить перечисление на основе доступа для этих пространств имен. If you upgrade the domain functional level to Windows Server 2008 while there are existing domain-based namespaces, DFS Management will allow you to enable access-based enumeration on these namespaces. Однако вы не сможете редактировать разрешения для скрытия папок от каких-либо групп или пользователей, если перенесете пространство имен в режим Windows Server 2008. However, you will not be able to edit permissions to hide folders from any groups or users unless you migrate the namespaces to the Windows Server 2008 mode. Дополнительные сведения см. в разделе Перенос доменного пространства имен в режим Windows Server 2008. For more information, see Migrate a Domain-based Namespace to Windows Server 2008 Mode.
Чтобы использовать перечисление на основе доступа с пространствами имен DFS, необходимо выполнить следующие действия: To use access-based enumeration with DFS Namespaces, you must follow these steps:
- Включение перечисления на основе доступа для пространства имен Enable access-based enumeration on a namespace
- Задание пользователей и групп, которые могут просматривать отдельные папки DFS Control which users and groups can view individual DFS folders
Перечисление на основе доступа не мешает пользователям переходить по ссылке на конечный объект папки, если они уже знают путь DFS. Access-based enumeration does not prevent users from getting a referral to a folder target if they already know the DFS path. Помешать доступу пользователя к конечному объекту папки могут только разрешения для общего ресурса или разрешения файловой системы NTFS, относящиеся к самому конечному объекту папки (общей папке). Only the share permissions or the NTFS file system permissions of the folder target (shared folder) itself can prevent users from accessing a folder target. Разрешения для папок DFS используются только для отображения или скрытия папок DFS, а не для управления доступом, что делает доступ на чтение единственным применимым разрешением на уровне папки DFS. DFS folder permissions are used only for displaying or hiding DFS folders, not for controlling access, making Read access the only relevant permission at the DFS folder level. Дополнительные сведения см. в разделе Использование унаследованных разрешений с перечислением на основе доступа For more information, see Using Inherited Permissions with Access-Based Enumeration
Включение перечисления на основе доступа с помощью интерфейса Windows To enable access-based enumeration by using the Windows interface
В узле Пространства имен дерева консоли щелкните правой кнопкой мыши соответствующее пространство имен и выберите Свойства. In the console tree, under the Namespaces node, right-click the appropriate namespace and then click Properties .
Перейдите на вкладку Дополнительно и установите флажок Включить перечисление на основе доступа для этого пространства имен. Click the Advanced tab and then select the Enable access-based enumeration for this namespace check box.
Включение перечисления на основе доступа с помощью командной строки To enable access-based enumeration by using a command line
Откройте окно командной строки на сервере, где установлена служба роли Распределенная файловая система или компонент Средства распределенной файловой системы. Open a command prompt window on a server that has the Distributed File System role service or Distributed File System Tools feature installed.
Введите следующую команду, где является корнем пространства имен: Type the following command, where is the root of the namespace:
Для управления перечислением на основе доступа для пространства имен с помощью Windows PowerShell используйте командлеты Set-DfsnRoot, Grant-DfsnAccess и Revoke-DfsnAccess. To manage access-based enumeration on a namespace by using Windows PowerShell, use the Set-DfsnRoot, Grant-DfsnAccess, and Revoke-DfsnAccess cmdlets. Модуль DFSN Windows PowerShell был введен в Windows Server 2012. The DFSN Windows PowerShell module was introduced in Windows Server 2012.
Управлять тем, какие пользователи и группы могут просматривать отдельные папки DFS, можно с помощью интерфейса Windows или с помощью командной строки. You can control which users and groups can view individual DFS folders either by using the Windows interface or by using a command line.
Управление видимостью папки с помощью интерфейса Windows To control folder visibility by using the Windows interface
В узле Пространства имен дерева консоли найдите папку с конечными объектами, управлять видимостью которых вы хотите, щелкните ее правой кнопкой мыши и выберите Свойства. In the console tree, under the Namespaces node, locate the folder with targets for which you want to control visibility, right-click it and then click Properties.
Перейдите на вкладку Дополнительно. Click the Advanced tab.
Нажмите кнопку Задать явные разрешения на просмотр для папки DFS и затем Настроить разрешения просмотра. Click Set explicit view permissions on the DFS folder and then Configure view permissions.
Добавьте или удалите группы или пользователей, нажимая кнопку Добавить или Удалить. Add or remove groups or users by clicking Add or Remove.
Чтобы разрешить пользователям видеть папку DFS, выберите группу или пользователя и установите флажок Разрешить. To allow users to see the DFS folder, select the group or user, and then select the Allow check box.
Чтобы скрыть папку от группы или пользователя, выберите группу или пользователя и установите флажок Запретить. To hide the folder from a group or user, select the group or user, and then select the Deny check box.
Управление видимостью папки с помощью командной строки To control folder visibility by using a command line
Откройте окно командной строки на сервере, на котором установлена служба роли Распределенная файловая система или средства распределенная файловая система . Open a Command Prompt window on a server that has the Distributed File System role service or Distributed File System Tools feature installed.
Введите следующую команду, где * дфспас* — путь к папке DFS (Link), является именем группы или учетной записи пользователя, а (. ) заменяется дополнительными записями управления доступом (ACE): Type the following command, where is the path of the DFS folder (link), is the name of the group or user account, and (. ) is replaced with additional Access Control Entries (ACEs):
Например, чтобы заменить существующие разрешения на разрешения, которые позволяют группам «Администраторы домена» и » \ преподаватели Contoso» читать (R) доступ к \ папке contoso. оффице\публик\траининг, введите следующую команду: For example, to replace existing permissions with permissions that allows the Domain Admins and CONTOSO\Trainers groups Read (R) access to the \contoso.office\public\training folder, type the following command:
Для выполнения дополнительных задач в командной строке используйте следующие команды: To perform additional tasks from the command prompt, use the following commands: