Как настроить видимость папок с Access Based Enumeration

Access Based Enumeration (ABE) автоматически скрывает папки, к которым у пользователя нет прав доступа. Чтобы решить проблему видимости папок, необходимо правильно настроить NTFS-разрешения, очистить кэшированные разрешения и проверить наследование прав. Для корректной работы ABE пользователи должны иметь права “Содержимое папки” для всех каталогов от корня до целевой папки.

Содержание

• Что такое Access Based Enumeration
• Настройка ABE в Server Manager
• Настройка ABE через PowerShell
• Настройка ABE через GPO
• Основные проблемы и их решения
• Настройка разрешений для корректной работы ABE
• Очистка кэша и перезагрузка
• Особенности работы с DFS
• Проверка и тестирование

Что такое Access Based Enumeration

Access Based Enumeration (ABE) - это функция Windows Server, которая скрывает файлы и папки, к которым у пользователя нет прав доступа. Вместо отображения полного списка содержимого общего ресурса, пользователи видят только те папки и файлы, на которые у них есть соответствующие разрешения.

Важно: По умолчанию ABE отключена и должна быть явно включена для каждого общего ресурса.

Согласно официальной документации Microsoft, ABE играет критическую роль в обеспечении конфиденциальности данных, гарантируя, что пользователи видят только файлы и папки, на которые у них есть права доступа.

Настройка ABE в Server Manager

Для включения ABE через графический интерфейс Server Manager:

1. Откройте Server Manager на вашем сервере Windows
2. Выберите роль File and Storage Services
3. Перейдите в раздел Shares
4. Найдите нужный общий ресурс и щелкните правой кнопкой мыши
5. Выберите Properties (Свойства)
6. Перейдите на вкладку Settings (Параметры)
7. Поставьте галочку Enable access-based enumeration
8. Нажмите OK для применения изменений

Как объясняется в статье на Windows OS Hub, этот метод является наиболее простым для быстрого включения ABE на отдельных общих ресурсах.

Настройка ABE через PowerShell

Для управления ABE через PowerShell используйте командлет Set-SmbShare:

Set-SmbShare -Name "ShareName" -FolderEnumerationMode AccessBased

Чтобы проверить текущий режим перечисления папок:

Get-SmbShare | Format-Table Name, FolderEnumerationMode

Для возврата к стандартному режиму:

Set-SmbShare -Name "ShareName" -FolderEnumerationMode AccessBased

Как демонстрирует TheITBros, этот метод особенно полезен для автоматизации развертывания и управления множеством общих ресурсов.

Настройка ABE через GPO

Для массового развертывания ABE в домене используйте групповые политики:

1. Откройте Group Policy Management Console (gpmc.msc)
2. Создайте новую GPO или отредактируйте существующую
3. Перейдите в раздел: Computer Configuration → Preferences → Windows Settings → Network Shares
4. Создайте новый элемент Share (Общий ресурс)
5. В настройках общей ресурса установите опцию Access-based enumeration
6. Примените GPO к нужным OU с серверами

Как указано в статье Tenfold Security, этот метод позволяет централизованно управлять ABE на всех серверах домена.

Основные проблемы и их решения

Проблема: Папки видны, но недоступны

Когда пользователь видит папку, но не может получить к ней доступ, это обычно означает:

1. Наследование разрешений: Папка может наследовать разрешения от родительских каталогов
2. Кэшированные разрешения: Система использует кэшированные данные о разрешениях
3. Права на просмотр: Пользователь имеет право “List Folder Contents” для промежуточных папок

Решение:

1. Отключите наследование разрешений для проблемной папки:

   • Щелкните правой кнопкой мыши на папке → Свойства → Безопасность → Дополнительно
   • Нажмите Отключить наследование → Преобразовать унаследованные разрешения в явные разрешения

2. Удалите ненужные разрешения явно:

   • В разделе Разрешения удалите группы или пользователей, которым не должен быть доступ к папке
   • Сохраните изменения

Как объясняется на Server Fault, отключение наследования и явное управление разрешениями часто решает проблему видимости папок.

Настройка разрешений для корректной работы ABE

Для корректной работы ABE пользователи должны иметь право “List Folder Contents” для всех каталогов от корня до целевой папки:

1. Убедитесь, что у пользователей есть “List Folder Contents” для родительских папок
2. Отключите наследование разрешений для конечных папок, если это необходимо
3. Явно назначьте разрешения только тем группам, которым нужен доступ

Важно: Если у пользователя нет права “List Folder Contents” для какой-либо промежуточной папки, ABE работать не будет.

Как указывает Tenfold Security, это критически важный аспект настройки ABE, который часто упускают администраторы.

Очистка кэша и перезагрузка

После изменения разрешений может потребоваться очистка кэша:

1. Очистка кэша Kerberos:

   cmd

   klist purge
   

2. Перезагрузка клиента:

   • Полностью закройте и снова откройте проводник
   • Или перезагрузите компьютер пользователя

3. Перезапуск служб на сервере:

   powershell

   Restart-Service LanmanWorkstation
   Restart-Service LanmanServer
   

Как отмечают пользователи на Reddit, очистка кэша Kerberos (klist purge) часто решает проблемы с кэшированными разрешениями.

Особенности работы с DFS

При работе с DFS Namespaces настройка ABE имеет особенности:

1. Включите ABE в DFS Management:

   • Откройте DFS Management
   • Щелкните правой кнопкой мыши на пространстве имен → Properties
   • Установите галочку Enable access-based enumeration

2. Настройте разрешения на каждом сервере:

   • ABE требует настройки разрешений на автоматически создаваемых папках на каждом сервере пространства имен
   • Разрешения не реплицируются автоматически между серверами

Как указано в статье на Reddit, для DFS необходимо явно изменять NTFS-разрешения на структуре папок, автоматически создаваемой на каждом сервере пространства имен.

Проверка и тестирование

После настройки ABE выполните следующие проверки:

1. Проверьте эффективные разрешения:

   • Щелкните правой кнопкой мыши на папке → Свойства → Безопасность → Дополнительно
   • Нажмите Выбрать пользователя → введите имя пользователя → Проверить

2. Тестирование с разными учетными записями:

   • Войдите системой пользователя, которому не должен быть доступ
   • Проверьте видимость папок в проводнике
   • Убедитесь, что недоступные папки действительно скрыты

3. Используйте разные способы доступа:

   • По NETBIOS имени сервера
   • По FQDN сервера
   • Через UNC-путь

Как объясняет Microsoft Q&A, важно проверять эффективные разрешения, а не только явно заданные, так как ABE основывается на итоговых разрешениях пользователя.

Источники

1. Microsoft Learn - Enable Access-based Enumeration on a Namespace
2. Windows OS Hub - Enable Access-based Enumeration (ABE) on Shared Folders
3. TheITBros - Configure Access Based Enumeration on Windows Server 2016
4. Tenfold Security - Access Based Enumeration: How to Enable ABE for Windows Server
5. Server Fault - Access-based enumeration not working with share-subfolders
6. Reddit - Access Based Enumeration is ignored when accessing new server unless by FQDN
7. Microsoft Q&A - Access based Enumeration NOT working

Заключение

Для корректной настройки видимости папок с включенным Access Based Enumeration необходимо:

1. Включить ABE на общем ресурсе через Server Manager, PowerShell или GPO
2. Правильно настроить NTFS-разрешения, отключив наследование для чувствительных папок
3. Обеспечить права “List Folder Contents” для промежуточных каталогов
4. Очистить кэш Kerberos после изменения разрешений
5. Перезагрузить клиентские системы для применения изменений
6. Проверить эффективные разрешения для всех пользователей

Если после этих шагов проблема сохраняется, проверьте работу с разными способами доступа (NETBIOS vs FQDN) и убедитесь, что на сервере DFS настроены соответствующие разрешения на каждом сервере пространства имен.