Google Groups
Subscribe to WinAdmin
Email:
Visit this group



Event ID:

RBL CHECK


«
»

Access-based Enumeration

By Vitalie Ciobanu - Last updated: Tuesday, July 26, 2011 - Save & Share - Leave a Comment

Ca sa nu reinventez roata sau sa folosesc scriptul magic, o sa citez…. ABE este: Access-based enumeration displays only the files and folders that a user has permissions to access. It is a feature that was previously available as a downloadable package for the Windows Server® 2003 operating system (it was also included in Windows Server 2003 Service Pack 1). Access-based enumeration is now included in the Windows Server 2008 operating system, and you can enable it by using Share and Storage Management. (Sursa http://technet.microsoft.com/en-us/library/dd772681(WS.10).aspx)

Pe scurt, daca eu am acces la un share cu zeci de sute de subdirectoare in el dar am acces doar la unul-doua subdirectoare, ABE-ul imi arata doar acele 1-2 subdirectoare la care am acces, ascunzand celelalte subdirectoare.

Cum procedam?

  1. Cream directorul Share si doua subdirectoare: Pentru User 1 si Pentru User 2. Share-uim directorul Share cu share permission la Everyone pe Full si la Security dam remove la grupul Users (vedeti ca pentru asta trebuie sa scoateti Inheritance si sa pastrati setarile).
  2. Cream doi utilizatori in AD: User1 si User2.
  3. Deschidem proprietatile directorului share-uit si mergem la Security. Adaugam User1 si User2 cu permisiunile implicite.
  4. Deschidem fereastra Advanced Security Settings. Apasam Change Permissions si pentru User1 si User2 modificam Apply to sa fie This folder only.

  5. In directorul Share, deschidem proprietatile subdirectorului Pentru User 1 si la Security adaugam User1 cu permisiunile default. Daca exista, stergem grupul Users. Facem acelasi lucru si pentru subdirectorul Pentru User 2, doar ca adaugam User2.
  6. In acest moment, daca deschidem share-ul pe o statie din retea o sa vedem ambele subdirectoare, fiecare user avand acces doar la directorul sau. Observam ca se vede si directorul celuilalt user dar nu-l putem accesa.

  7. Acum, ca sa ascundem subdirectorul la care userul nu are acces, trebuie sa activam ABE-ul pe acel share.

    Pe serverul unde avem creat share-ul, deschidem Share and Storage Management folosind MMC-ul.

  8. Cu dublu click pe directorul Share o sa vedem ca Access-based Enumeration este Disabled.

  9. Selectam Advanced si bifam Enable AEM…

    1. Daca accesam share-ul acum, o sa vedem doar directorul Pentru User 2 pentru ca sunt logat cu user2.
    3. Si daca accesam cu user1…

Important: Nu dati acces la share-uri userilor, cum am facut eu J folositi grupuri de securitate!

Posted in Windows Server • Tags: Top Of Page

Write a comment

Copyright © 2011 RO Windows Administrators Weblog