Использование ABE в Windows Server 2003

В сети есть шара files на файловом сервере, в шаре куча папок, щелкаешь на них - restricted... Интересно, что там??? Можно попробовать подобрать пароль...

Знакомо? Попробуем немного улучшить ситуацию.

Предположим, в сети расшарена папка Temp с вложенными в нее папками 1, 2, 3 и 4:

+ Temp ---- 1 ---- 2 ---- 3 ---- 4

У нас есть два пользователя: test1 и test2. Пользователь test1 должен иметь доступ к папкам 1, 3 и 4, пользователь test2 должен иметь доступ к папкам 2, 3 и 4. Как сделать так, чтобы пользователь test2 не знал, что в папке Temp вообще есть что-то, кроме его папок?

Access-Based Enumeration

Вариант 1: сделать отдельные шары для каждого пользователя. Это выход, но если папки 3 и 4 используются совместно? Делать отдельную шару для общих папок? А если пользователей 20 штук? Вот. В такой ситуации Microsoft предлагает использовать Access-Based Enumeration (сокр., ABE).

Access-Based Enumeration

Access-Based Enumeration возможно использовать на Windows 2003 SP1 и выше, Windows 2003 R2. Скачать Access-Based Enumeration можно на сайте Microsoft. Размер 500 кбайт. Установка простая, даже описывать нечего.

Access-Based Enumeration появляется в виде дополнительной вкладки между вкладками "Безопасность" и "Настройка" расшаренной папки:

Основная мысль: расшаривается "головная" папка, содержащая все остальные (в нашем примере это папки 1, 2, 3 и 4). Доступ во вложенные папки задается стандартно через вкладку "Безопасность". В нашем примере папке 2 дан доступ только для пользователя test2.

Пользователь test1 не увидит папку 2 просматривая шару:

Таким образом не только ограничивается доступ к содержимому папки 2, но скрывается сам факт ее наличия. Т.е. пользователи могут просто не знать, есть ли другие папки в той шаре, с которой они работают каждый день. Точно также можно задавать права не только для папок, но и для файлов. Меньше знаешь - крепче спишь. В нашем случае, крепче спит администратор сети!

Авторизуйтесь для добавления комментариев!