Скрыть сетевую папку

Создание и удаление скрытых и административных общих ресурсов на клиентских компьютерах

Скрыть сетевую папку
bga68Microsoft: https://support.microsoft.com/ru-ru/kb/314984

Staffcop: http://www.staffcop.ru/faq/install/open_admin_res.html

В данной статье приведены пошаговые инструкции по созданию и удалению скрытых и административных общих ресурсов на компьютерах под управлением Microsoft Windows XP Professional, Windows 2000 Professional и Windows NT 4.0 Workstation. Подходит и для более новых версий Windows.

Скрытые общие ресурсыСкрытыми являются общие ресурсы, имя которых заканчивается знаком доллара («$»). Скрытые общие ресурсы не отображаются при просмотре списка общих ресурсов или при использовании команды net view.

Операционные системы семейства Windows, перечисленные в разделе «Информация в данной статье относится к следующим продуктам», создают скрытые административные общие ресурсы, используемые приложениями, службами и администраторами для управления компьютерами в сети.

По умолчанию в Windows могут быть созданы следующие скрытые административные общие ресурсы: • корневые разделы или тома;• корневой каталог операционной системы;• общий ресурс FAX$;• общий ресурс IPC$;• общий ресурс PRINT$.Для корневых разделов и томов в качестве имени общего ресурса используется имя диска, к которому добавляется символ «$».

Например, для доступа к дискам C и D будут созданы общие ресурсы C$ и D$.Корневой каталог операционной системы (%SYSTEMROOT%) – это папка, в которую установлена операционная система Windows. Общий ресурс ADMIN$ предоставляет администраторам доступ к этой папке по сети.Общий ресурс FAX$ используется клиентами для отправки факсов.

В этой папке кэшируются файлы и титульные страницы, находящиеся на файловом сервере.Общий ресурс IPC$ используется при организации временных подключений, создаваемых приложениями для обмена данными с помощью именованных каналов. Как правило, он применяется для удаленного администрирования серверов в сети.

Общий ресурс PRINT$ используется для удаленного администрирования принтеров.Если удалить скрытые административные ресурсы, созданные операционной системой (например, ADMIN$ или C$), то после перезагрузки компьютера или перезапуска службы «Сервер» они будут созданы повторно. Если удалить скрытые административные ресурсы, созданные пользователями, то после перезагрузки компьютера они повторно созданы не будут. Microsoft Windows XP Home Edition не создает скрытые административные общие ресурсы.

Создание скрытого общего ресурса

Чтобы создать скрытый общий ресурс, выполните следующие действия:

1. На панели управления дважды щелкните значок Администрирование, а затем дважды щелкните значок Управление компьютером.

2. Разверните узел Общие папки, щелкните правой кнопкой мыши узел Ресурсы и выберите в появившемся меню пункт Новый общий файловый ресурс.
3. В поле Общая папка укажите путь к папке, к которой следует предоставить общий доступ, или нажмите кнопку Обзор, чтобы выбрать нужную папку.
4. Введите имя общего ресурса с символом доллара («$») в конце и нажмите кнопку Далее.
5. Чтобы предоставить доступ к созданному ресурсу только администраторам, установите флажок Администраторы имеют полный доступ, остальные не имеют доступа и нажмите кнопку Готово.
6. Нажмите кнопку Да, чтобы создать еще одну общую папку, или кнопку Нет, чтобы вернуться в консоль управления компьютером.

Удаление скрытого общего ресурса

Чтобы удалить скрытый общий ресурс, выполните следующие действия:

1. На панели управления дважды щелкните значок Администрирование, а затем дважды щелкните значок Управление компьютером.

2. Разверните узел Общие папки и выберите Ресурсы.
3. В столбце Общая папка щелкните правой кнопкой мыши имя удаляемого общего ресурса, выберите пункт Прекратить общий доступ и нажмите кнопку ОК.

Устранение неполадок

После отключения административных ресурсов, создаваемых по умолчанию, проверьте работоспособность используемых служб и приложений, поскольку ряду служб Windows и приложений независимых разработчиков для работы необходим доступ к некоторым административным общим ресурсам. Например, доступ к этим ресурсам требуется некоторым средствам резервного копирования.

Если вышеуказанное не работает

1. Вначале на целевой рабочей станции запустите редактор реестра: «Пуск >Выполнить: regedit», зайдите в ветку «HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\lanmanserver\parameters».

2. В реестре проверьте присутствует ли такой ключ:

Для ОС Windows 2000/2003 Server: AutoShareServer типа REG_DWORD со значением «1». Если отсутствует, то такой ключ необходимо создать вручную.

Для ОС Windows XP/7/8: AutoShareWks типа REG_DWORD со значением «1». Если отсутствует, то такой ключ необходимо создать вручную.

Прим.: иногда нужно оба параметра создать. Обратное восстановление доступа к системным шарам:

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\para meters]”AutoShareServer”=dword:00000001″AutoShareWks”=dword:000000013. Что бы создать ключ, нужно: В pедакторе реестра кликнуть правой кнопкой мыши по пустому полю и выбрать в активном меню пункт «Создать» -> «Параметр DWORD». Укажите в новом параметре название ключа соответствующего вашей ОС и нажмите ENTER. Вы создали новый ключ типа REG_DWORD со значением «0».

Теперь кликните правой кнопкой мыши по вашему ключу, появится активной меню, выберите пункт «Изменить»; в диалоговом окне «Изменение параметра DWORD» выставите значение параметра «1» (система исчисления: десятичная). Нажмите ОК.

4. Включите обычную модель сетевого доступа:

• Откройте «Панель управления»;

• Зайдите в «Администрирование ->Локальная политика безопасности ->Параметры безопасности»;
• Выберите политику «Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей»;• Установите модель: «Обычная – локальные пользователи удостоверяются как они сами»;

• Кликнете «ОК». Готово.

Дополнительно для ОС Windows 7 ресурс Admin$ включается следующим образом:

• Зайдите в «Панель управления» (Control panel), выберите пункт «Сеть и Интернет» (Network and Internet), «Сеть и общий доступ» (Network and Sharing Center).

• В левой части нового открывшегося окна кликнуть на строке «Изменить дополнительные параметры общего доступа» (Change Advanced Sharing Settings). Далее, нажать на «Включить общий доступ к файлам и принтерам» (Turn on file and printer sharing). Сохранить настройки.
• Открыть редактор реестра, зайти в ветку «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System» и создать в ней ключ типа DWORD с именем LocalAccountTokenFilterPolicy. Выставить значение этого параметра в «1» и перезагрузить компьютер.

Перейти к Оглавлению

bga68Реестр Windows по ветке:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

«NoFileSharingControl»=dword:00000001

Источник: https://bga68.livejournal.com/16047.html

Как создать общую сетевую папку в Windows 10

Скрыть сетевую папку

4 мая

Сперва следует решить на каком компьютере стоит делать сетевую папку. Если вы планируете открыть доступ для 20 или менее компьютеров, то можете переходить к следующему шагу.

Если в вашей сети больше 20 компьютеров, то вам стоит поискать может у вас есть Professional версия.

Поясню, MS Windows Home edition позволяет предоставлять доступ к сетевой папке не больше 20 компьютерам (пользователям). Для большего количества требуется версия Professional или Server.

Как узнать какая у вас версия Windows

  1. Заходим в любую папку.
  2. Нажимаем на значок «мой компьютер» в области навигации (слева).

  3. В основной области в месте, где нет никаких иконок нажимаем правой кнопкой мыши и в раскрывшемся меню выбираем пункт «Свойства».

  4. В открывшемся окне будет написано полное название и версия вашей операционной системы.

Проверяем все компьютеры и если есть компьютер с версией Professional, то делаем сетевую папку на нем.

Дополнительные параметры для выбора компьютера:

  • Это должен быть компьютер с самым большим объёмом оперативной памяти. Как ее проверить? Выполняем все пункты из раздела как узнать какая у вас версия Windows, но в открывшемся окне смотрим чуть ниже пункт «Установленная память (ОЗУ)»
  • В идеале этот компьютер должен включаться самым первым и выключаться самым последним. Если он вдруг выключится раньше, то все не сохраненные данные, с которыми в этот момент работали пропадут!
  • В идеале у этого компьютера должен быть канал проходимости сети 1000 Мбит/сек (ссылка на якорь speed в локальной сети), а именно провод витой пары на 8 жил и обязательно гнездо в компьютере и в сетевом коммутаторе на 1000 Мбит/сек.
  • Желательно чтобы он не был компьютером бухгалтера, иначе проблемы со скоростью работы будут и у бухгалтера, и у пользователей.

Если у вас на компьютере есть два жёстких диска (ну или 2 локальных диска, например «диск C:» и «диск D:») то лучше использовать не тот на котором установлен Windows, и на котором больше свободного места. Не забудьте оценить сколько гигабайт памяти вам понадобится для работы в течение следующего года и позаботиться о том, чтобы на выбранном диске её было достаточно.

  1. На выбранном диске создаем обычную папку, ее можно назвать «Сетевая папка», «Сервер» или как вам вздумается.
  2. Нажимаем на ней правой кнопкой мыши и заходим в «Свойства».
  3. В открывшемся окне убираем галочку на пункте «Только для чтения» и переходим во вкладку «Доступ». Далее нажимаем на расширенная настройка.
  4. В открывшемся окне включаем галочку «Открыть общий доступ к этой папке». В поле «Ограничить число одновременных пользователей до», увеличиваем до максимума. И нажимаем на кнопку «Разрешения».
  5. В открывшемся окне нажимаем на кнопку «Добавить», а в следующем «Дополнительно…».
  6. В этом окне нажимаем на кнопку «Поиск», находим пункт СЕТЬ, выбираем его и нажимаем кнопку «ОК».
  7. В окне (Выбор: «Пользователи» или «Группы») тоже жмем «ОК».
  8. В окне (Разрешение для группы «Название вашей папки») выбираем группу «СЕТЬ» и включаем галочку разрешить полный доступ. Нажимаем «Применить» а затем «ОК». В оставшемся окне «Расширенная настройка общего доступа так-же нажимаем «Применить» и затем «ОК».
  9. На данном этапе мы добавили, для нашей сетевой папки, группу пользователей в которую входят все компьютеры внутренней локальной сети. Теперь нам надо добавить такую-же группу в разделе безопасность, этой же папки. Переходим во вкладку «Безопасность», нажимаем кнопку «Изменить» и в открывшемся окне кнопку «Добавить».
  10. Дальше выполняем такие-же действия как в пунктах с 5 по 7.
  11. В оставшемся окне выбираем пункт «СЕТЬ», ставим галочку разрешить полный доступ, а дальше «Применить» и «ОК». Переходим обратно во вкладку «Доступ» и нажимаем на ссылку «Центр управления сетями и общим доступом».
  12. Сейчас мы создали и настроили сетевую папку. Но наш компьютер не настроен на общение с сетью. Он не передает другим компьютерам информацию и не берет ее у них.
    Что мы делаем. В «Центре управления сетями и общим доступом» в профилях «Частная» и «Гостевая или общедоступная» включаем сетевое обнаружение и общий доступ к файлам и принтерам. А в профиле «Все сети» – «Включить общий доступ, чтобы все пользователи могли читать и записывать файлы в общих папках» и «Отключить общий доступ с парольной защитой».

Сетевая папка отрыта! Но как в нее попасть!?

В сетевую папку вы можете попасть, перейдя в любую папку, далее в левом боковом меню найти иконку сеть, нажать на нее из появившегося списка компьютеров найти компьютер на котором находится наша сетевая папка, открыть его, и перейти в сетевую папку. Можно даже сделать ярлык этой сетевой папки на рабочем столе. Но работать она будет не очень стабильно.

Для стабильной работы сетевой папки рекомендую на всех компьютера, где должен быть доступ к ней, подключить сетевой диск от этой папки. Это обеспечит более надежное соединение.

  1. Заходим в мой компьютер.
  2. В верхней панели управления нажимаем на кнопку «Подключить сетевой диск».
  3. Выбираем букву для названия нового диска. Можно выбрать любую понравившуюся. Ставим галочку на пункте «Восстанавливать подключение при входе в систему» и нажимаем кнопку «Обзор».
  4. Ждем пока загрузится список компьютеров в сети, это может быть долго! Находим наш компьютер, выбираем сетевую папку и жмем «ОК». В оставшемся окне нажимаем «Готово».

    Сетевой диск готов!

  5. Дальше для удобства можно добавить ярлык этой папки на рабочий стол. Нажимаем правой кнопкой мыши на созданном диске и выбираем пункт «Создать ярлык». Появится окно с предложением разместить его на рабочем столе. Соглашаемся.

Теперь вы найдете ярлык сетевой папки на рабочем столе.

Процедуру повторяем на всех компьютерах, у которых должен быть доступ к папке.

Поясню. На каждом компьютере есть учетная запись.

Вы можете сделать так, чтобы некоторые папки внутри сетевой папки были открыты для доступа только с определенных компьютеров (а точнее с конкретных учетных записей пользователей).

Если кто-то подключится к вашей локальной сети, он не сможет в нее попасть. Или сотрудник (компьютер) которому вы не дали доступ к этой папке, тоже не сможет в нее попасть.

Принцип такой-же, как и при создании обычной сетевой папки. В случае с открытой сетевой папкой мы открываем доступ для группы СЕТЬ, в которую входят все компьютеры. В данном случае мы открываем доступ только для конкретных пользователей. Начнем.

Создаем учетные записи пользователей на компьютере с сетевой папкой

Первое что нам надо сделать, это переписать на листок бумаги имена учетных записей и пароли с компьютеров, которым мы хотим дать доступ к защищенной папке.

  1. Включаем компьютер, на котором должен быть доступ к этой папке. Нажимаете на клавиатуре комбинацию Win+R, вбиваете команду кnetplwiz и нажимаете на «ОК».
  2. Откроется окно управления пользователями. Вам надо точно переписать имя своей учетной записи на листок бумаги и вспомнить пароль. Если имя пользователя не уникальное в стиле «Пользователь», «User-PC», или как-то еще, то его надо сменить, и задать пароль. Обязательно записываем полное имя учетной записи и пароль на листок бумаги! Мы включили этот компьютер чтобы узнать их.

    Пароль обязательно надо проверить, выйдя из системы и войдя при помощи этого пароля.

  3. Теперь у вас на руках есть имя пользователя и пароль от другого компьютера (которому мы хотим открыть доступ). Нам надо создать такого-же пользователя на нашем компьютере (на котором находится сетевая папка). Выполняем те же самые действия – Win+R и команда кnetplwiz. Откроется окно «Учетные записи и пользователи». Ставим галочку требовать ввод имени пользователя и пароля. Нажимаем кнопку добавить.
  4. Если на компьютере, которому вы хотите дать доступ стоит учетная запись Microsoft (у вас на бумажке в качестве логина написан e-mail), то вы вбиваете его и следуете инструкциям, если у вас обычная (локальная) учетная запись, то нажимаете внизу на ссылку «Вход без учетной записи Microsoft». Далее нажимаете кнопку «Локальная учетная запись».
  5. Создаете учетную запись в точности как написано у вас на бумажке. Я использовал пользователя «Buhgalter». В окне «Учетные записи пользователей» Нажимаем «Применить» и «ОК».

Создаем защищенную сетевую папку и открываем доступ пользователям

  1. В сетевой папке создаем обычную папку. В нашем случае назовем ее «Финансы».
  2. После того как мы создали всех необходимых пользователей на компьютере с секретной сетевой папкой, надо раздать этим пользователям права на посещение и редактирование секретной папки. Переходим к нашей папке, в моем случае это «Финансы».

    Нажимаем на ней правой кнопкой мыши и выбираем пункт «Свойства».

  3. Переходим во вкладку доступ, нажимаем на кнопку расширенная настройка. В открывшемся окне включаем галочку «Открыть общий доступ к этой папке» и нажимаем на кнопку «Разрешения». В окне «Разрешения для группы…» нажимаем на кнопку добавить.

  4. Добавляем наших пользователей. Для этого в окне выбора пользователей и групп нажимаем на кнопку дополнительно. В открывшемся окне нажимаем на поиск выбираем нашего пользователя и нажимаем «ОК». Еще раз жмем дополнительно, находим следующего пользователя и так пока не добавим всех, кто нам нужен.

  5. Теперь в окне выбора пользователей или групп появился список наших пользователей. Жмем на «ОК» и в оставшемся окне задаем необходимые разрешения для наших новых пользователей. Для этого выбираем пользователя и ставим галочки нужных разрешений, потом выбираем следующего, и так пока не раздадим права всем. Нажимаем применить и «ОК».

    В оставшемся окне расширенных настроек так же нажимаем применить и «ОК».

Отменяем наследование правил защищенной сетевой папки в Win 10

Мы открыли доступ для нашей новой паки конкретным пользователям, но наша папка финансы находится внутри сетевой папки, в которой мы дали разрешение всем пользователям сети (группой «СЕТЬ») на чтение и редактирование вложенных в нее папок и файлов. Таким образом наша папка «Финансы» наследует все правила от папки «Сетевая папка». Надо отключить это наследование.

  1. В окне свойства нашей сетевой папки переходим во вкладку Безопасность. Нажимаем на кнопку дополнительно.
  2. В окне дополнительные параметры безопасности нажимаем на кнопку отключить наследование. Появится вопрос c предложением 2х вариантов. Если мы выберем «Удалить все наследованные разрешения из этого объекта», то мы удалим и свои административные права на эту папку и уже ничего не сможем с ней делать. А если мы выберем пункт «Преобразовать наследованные разрешения в явные разрешения этого объекта», то мы сможем удалить не нужные нам разрешения, оставить те, которые нужны и добавить новые.
  3. Удаляем разрешения для групп «СЕТЬ» и «Все». И для того, чтобы все файлы и папки внутри нашей защищенной папки (Финансы) унаследовали правила, которые мы зададим тут, включаем галочку «Заменить все записи разрешений дочернего объекта наследуемыми от этого объекта».
  4. Мы закрыли доступ неизвестным компьютерам сети. Теперь нам надо разрешить доступ для наших новых пользователей для этого во вкладке безопасность свойств нашей сетевой папки нажимаем на кнопку изменить. В открывшемся окне нажать на кнопку добавить.
  5. Дальше нам надо добавить новых пользователей и дать им разрешения. Для этого в открывшемся окне (Разрешения для группы …) повторить все так же, как в пункте 4 и 5 из раздела «Создаем защищенную сетевую папку и открываем доступ пользователям».
  6. Теперь у нас есть разрешение безопасности для нужных пользователей. В свойствах нажимаем применить и «ОК».
  7. Обязательно перезагружаем все компьютеры.

Защищенная сетевая папка готова! Вы можете попасть в нее войдя в подключенный сетевой диск нашей обычной сетевой папки, или подключить отдельный сетевой диск для более быстрого доступа.

Источник: https://ros-it.biz/obslujivanie-kompyuterov-v-ofise/lokalnye-seti-v-ofise/kak-sozdat-obshchuyu-setevuyu-papku-v-windows-10

Скрываем папки недоступные пользователю с помощью Access-Based Enumeration (ABE) в Windows Server

Скрыть сетевую папку

Технология Access-based Enumeration (ABEПеречисление на основании доступа) позволяет на общих сетевых ресурсах (шарах) скрыть от пользователей файлы и папки, к которым у них отсутствует права доступа на чтение на уровне NTFS. Тем самым можно обеспечить дополнительную конфиденциальность данных, хранящихся в сетевом каталоге (за счет скрытия структуры и имен каталогов и файлов), улучшить юзабилити для пользователя, которому в процессе работы с сетевым каталогом не будет отображаться лишняя информация (тем более доступ к которой у него все равно отсутствует) и, самое главное, оградим системного администратора от постоянных вопросов пользователей «почему меня не пускает в эту папку!!». Попробуем детальнее разобраться в этой технологии и особенностях ее настройки и использования в различных версиях Windows.

Особенности доступа к общим сетевым папкам Windows

Одним из недостатков сетевых папок Windows является тот факт, что по-умолчанию все пользователи при просмотре содержимого общей папки могли, как минимум, видеть ее структуру и список содержащихся в ней файлов и каталогов, в том числе тех, доступ к которым на уровне NTFS у них отсутствует (при попытке открыть такой файл или папку пользователь получает ошибку доступа «Доступ запрещен / Access Denied»). Так почему бы не скрыть от пользователя те каталоги и файлы, к которым у него все равно нет доступа?  Помочь в этой задаче должна технология Access Based Enumeration (ABE). Включив ABE на общей сетевой папке можно добиться того, чтобы разные пользователи видели различный список каталогов и файлов в одной и той же сетевой шаре, основанный индивидуальных правах доступа пользователя к этим папкам (ACL).

Каким образом происходит взаимодействие между клиентом и сервером при обращении к общей папке:

  • Клиент обращается к серверу с запросом на доступ к интересующему его каталогу в общей сетевой папке;
  • Служба LanmanServer на сервере проверяет, есть ли у пользователя права доступа к данному каталогу на уровне разрешений файловой системе NTFS;
  • Если доступ разрешен (просмотр содержимого/чтение/запись), пользователь видит список содержимого каталога;
  • Затем пользователь по такой же схеме может открыть конкретный файл или вложенный каталог (вы можете посмотреть, кто открыл конкретный файл в сетевой папке так). Если доступа к папке нет, пользователь получает соответствующее уведомление.

Из этой схемы ясно, что сервер сначала показывает пользователю все содержимое папки, а проверку прав доступа на конкретный объект осуществляет только после попытки доступа к его содержимому.

Функционал Access Based Enumeration (ABE) позволяет реализовать проверку прав доступа на объекты файловой системы до того, как пользователю отправляется список содержимого папки.

Следовательно, в конечный список будут попадать только те объекты, к которым у пользователя есть хотя бы права Read на уровне NTFS, а все недоступные ресурсы просто не отображаются (скрываются).

Т.е. пользователь одного отдела (например, склада) в одном и том же сетевом каталоге (\\filesrv1\docs) будет видеть один список папок и файлов. Как вы видите, у пользователя отображаются только две папки: Public и Sklad.

У пользователей другого департамента, например, ИТ (которые включены в другую группу безопасности Windows), отображается другой список вложенных каталогов. Помимо каталогов Public и Sklad у данных пользователей в сетевой папке видны еще 6 директорий.

Основной недостаток использования ABE на файловых серверах – дополнительная нагрузка на сервер. Особенно это можно почувствовать на высоконагруженных файловых серверах. Чем больше количество объектов в просматриваемом каталоге, и чем больше количество пользователей открывают файлы на нем, тем больше задержка.

По заявлению Microsoft в случае наличия в отображаемом каталоге 15000 объектов (файлов и каталогов), скорость открытия папки замедляется на 1-3 секунды.

Именно поэтому, при проектировании структуры общих папок, рекомендуется уделить большое внимание созданию четкой и иерархической структуры подпапок, в этом случае замедление скорости открытия каталогов будет незаметным.

Управлять ABE можно из командной строки (утилита abecmd.exe), из графического интерфейса, PowerShell или через специальный API.

Ограничения Access Based Enumeration

Access-based Enumeration в Windows не работает в случаях:

  1. Если в качестве файл-сервера используется Windows XP или Windows Server 2003 без Service Pack;
  2. При локальном просмотре каталогов (непосредственно с сервера). Например, пользователь, подключившись к RDS серверу будет видеть все локальные папки, если данный сервер используется и в качестве файлового сервера);
  3. Для членов локальной группы администраторов файлового сервера (они всегда видят полный список файлов).

Использование ABE в Windows Server 2008 / 2008 R2

В Windows Server 2008/R2 для использования функционала Access Based Enumeration никаких дополнительных компонентов устанавливать не нужно, т.к. возможность управления функционалом ABE уже встроена в графический интерфейс Windows.

Чтобы включить Access-based Enumeration для конкретной папки в Windows Server 2008/2008 R2, откройте mmc консоль  управления Share and Storage Management (Start –> Programs –> Administrative Tools ->Share and Storage Management). Перейдите в окно свойств нужной шары.

Затем перейдите в окно расширенных настроек (кнопка Advanced) и включите опцию Enable access-based enumeration.

Настройка Access Based Enumeration в Windows Server 2012 R2/ 2016

Настройка ABE в Windows Server 2012 R2 / 2016 также выполняется просто. Чтобы включить Access Based Enumeration необходимо сначала, естественно, установить роль файлового сервера (File And Storage Services), а затем в консоли Server Manager перейти в свойства общей папки.

И в разделе Settings включить опцию Enable access-based enumeration.

Настройка Access Based Enumeration в Windows Server 2003

В Windows Server 2003 (снята с поддержки) технология ABE стала поддерживаться начиная с Service Pack1. Чтобы включить Access-based Enumeration  в Windows Server 2003 SP1 (и выше), нужно скачать и установить пакет _http://www.microsoft.com/en-us/download/details.aspx?id=17510.

В процессе установки необходимо указать, нужно ли автоматически включить ABE для всех общих папок на сервере, либо настройка будет проводиться в индивидуальном порядке. Если выбран второй пункт, то после окончания установки пакета, в свойствах общих папок появится новая вкладка Access-based Enumeration.

Чтобы активировать ABE для конкретной папки, включите в ее свойствах опцию Enable access-based enumeration on this shared folder.

Также отметим, что в Windows 2003 поддерживается использование Access Based Enumeration на основе DFS, однако настроить его можно только из командной строки с помощью утилиты cacls.

Управление ABE из командной строки

Настройками Access-based Enumeration можно управлять из командной строки при помощи утилиты Abecmd.exe. Данная утилита входит в пакет Access-based Enumeration для Windows Server 2003 SP1 (ссылка выше).

Утилита Abecmd.exe позволяет активировать ABE сразу для всех каталогов или же персонально. Следующая команда включит Access-Based Enumeration сразу для всех шар:

abecmd /enable /all

Или для конкретной папки (например, шары с именем Docs):

abecmd /enable Docs

Управление Access Based Enumeration с помощью PowerShell

Для управления настройками Access Based Enumeration для конкретных папок можно использовать PowerShell модуль SMBShare (установлен по-умолчанию в Windows 10/8.1 и Windows Server 2016/ 2012 R2). Выведем свойства конкретной сетевой папки:

Get-SmbShare Install|fl *

Обратите внимание на значение атрибута FolderEnumerationMode. В нашем случае его значение – Unrestricted. Это означает, что ABE отключен для этой папки.

Можно проверить статус ABE для всех сетевых папок сервера:

Get-SmbShare | Select-Object Name,FolderEnumerationMode

Чтобы включить ABE для папки, выполните:

Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased

Вы можете включить Access Based Enumeration для всех опубликованных сетевых папок (в том числе административных шар ADMIN$, C$, E$, IPC$), выполните:

Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased

Чтобы отключить ABE, выполните:

Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode Unrestricted

Access-Based Enumeration в Windows 10 / 8.1 / 7

Многим пользователем, особенно в домашних сетях, также хотелось бы иметь возможность воспользоваться функционалом Access-Based Enumeration. Проблема заключается в том, что в клиентских ОС Microsoft отсутствует как графический, так и командный интерфейс управления «Перечислением на основе доступа».

В Windows 10 (Server 2016) и Windows 8.1 (Server 2012R2) для управления Access-based Enumeration можно использовать PowerShell (см. раздел выше). В более старых версиях Windows, вам необходимо установить последнюю версию PowerShell (>= 5.0) или использовать утилиту abecmd.

exe из пакета для Windows Server 2003, прекрасно работает и на клиентских ОС. Т.к. пакет Windows Server 2003 Access-based Enumeration на Windows 10 / 8.1 / 7 не устанавливается, придется сначала установить его на Windows Server 2003, а затем скопировать его из каталога C:\windows\system32 в такой же каталог на клиенте.

После этого включить ABE можно по сценарию с командной строкой, описанному выше.

Кроме того, вы можете включать ABE на компьютерах домена AD с помощью групповых политик. Для этого используется GPP в секции: Computer Configuration ->Preferences ->Windows Settings ->Network Shares).

Как вы видите, в свойствах сетевой папки есть опция Access-Based Enumeration, если изменить значение на Enable, для всех общих папок, созданных с помощью данной GPO будет включен режим ABE.

Источник: https://winitpro.ru/index.php/2013/09/03/access-based-enumeration-ili-kak-skryt-soderzhimoe-obshhix-papok/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.