Пошаговое руководство по использованию ABE на файловом сервере.

Posted by

В этом руководстве я рассмотрю использование на файловом сервере (fileserv.polygon.local) в домене (polygon.local). Чтобы Вы понимали, что есть ABE (Access-based Enumeration), это ограничение на просмотр пользователям только тех каталогов, файлов  на которые у них предоставлены права исходя из сетевого ресурса.

 

Имеем файловый сервер fileserv.polygon.local на базе Windows Server 2008 R2 Std.

C:\Users\ekzorchik>ipconfig

IPv4 Address. . . . . . . . . . . : 10.0.2.18

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 10.0.3.15

Имя хоста: fileserv.

Собственно домен контроллер (dc1.polygon.local), где собственно будут заведены учётные записи и группы ограниченного доступа.

И так основные данные у нас есть, приступим к пошаговому расписанию всего процесса:

Зайдём на домен контроллер (dc1.polygon.local) под учётной записью с правами Администратора домена (Domain Admins), после запустим окно командной строки с правами Администратора.

Запускаем командную строку с правами Администратора.

 

 

 

 

Т.к. я приверженец командной строки, то и соответственно и создавать пользователей будет через консоль.

Создадим, к примеру, двух пользователей:

C:\Windows\system32>dsadd user «cn=rtest,OU=IT,dc=polygon,dc=local» | dsmod user «cn=rtest,ou=IT,dc=polygon,dc=local» -pwd Aa1234567 -disabled no

 

C:\Windows\system32>dsadd user «cn=wtest,ou=IT,dc=polygon,dc=local» | dsmod user «cn=wtest,ou=IT,dc=polygon,dc=local» -pwd Aa1234567 -disabled no

 

Создадим две группы с наименование отражающим выдаваемые права на файловом ресурсе:

C:\Windows\system32>dsadd group «CN=FileServ_Read,OU=IT,DC=polygon,DC=local»

C:\Windows\system32>dsadd group «CN=FileServ_Write,OU=IT,DC=polygon,DC=local»

 

Включим учётные записи в свои группы:

Rtest -> в Fileserv_Read

Wtest -> в FileServ_Write

 

C:\Windows\system32>dsmod group «CN=FileServ_Read,OU=IT,dc=polygon,dc=local» -addmbr «cn=rtest,ou=it,dc=polygon,dc=local»

C:\Windows\system32>dsmod group «CN=FileServ_Write,OU=IT,dc=polygon,dc=local» -addmbr «cn=wtest,ou=it,dc=polygon,dc=local»

На файловом сервере (fileserv.polygon.local) создадим шару, раздадим права и активируем функционал Access-based Enumeration (ABE):

 

Создадим шару:

C:\Users\ekzorchik>mkdir c:\shara

C:\Users\ekzorchik>net share vols=c:\shara /GRANT:Everyone,FULL

 

Отключим наследование для этой папки:

C:\Users\ekzorchik>icacls c:\shara /inheritance:d

 

Добавим право на получения листинга каталогов на каталог shara, выставим третью галочку для наших групп:

(List folder / read data)

Добавим право на получения листинга каталогов.

 

 

См. скриншот, как должно получиться:

Права на расшаренный каталог, согласно скриншоту.

 

Внутри каталога c:\shara создадим две папки read & write, на каждую из них дадим права группе FileServ_Read права на чтение, FileServ_Write права на запись. Итог должен получиться таким, как указано на скриншоте ниже:

C:\shara\read – права только для чтения группе FileServ_Read

C:\shara\read – права только для чтения группе FileServ_Read

 

 

 

 

 

 

 

 

 

C:\shara\write – права только для чтения группе FileServ_Write

C:\shara\write – права только для чтения группе FileServ_Write

 

 

 

 

 

 

 

 

 

И так создали шару, назначили ей необходимые права, а теперь перейдём к включению функционала ABE:

Запускаем:

«Start» – «Control Panel» – «Administrative Tools» – «Share and Storage Management»

В основном окне перечислены текущие шары на сервере, выбираем нашу c:\shara и открываем её свойства (Properties), согласно скриншоту ниже:

Открываем оснастку "Share and Storage Management" на нашем расшаренном каталоге.

 

Переходим в пункт Advanced.. и включаем галочку “Enable access-based enumeration

Включаем функционал “Enable access-based enumeration”

 

 

 

 

Нажимаем кнопку “OK” – “Apply” – и ещё раз “OK” принятия наших изменений.

После активации ABE, файловый сервер начинает проверять права пользователя на ресурсы ДО ТОГО, как высылает клиенту список имеющихся в общей папке ресурсов. Соответственно, в список попадают только те файлы и папки, которые пользователь может открыть, и ничего лишнего пользователь больше не видит.

Всё можно начинать пользоваться:

К примеру, из под пользователя с учётной записью rtest обратимся к файловом ресурсу fileserv.polygon.local:

\\fileserv.polygon.local\vols и видим, только каталог read

Результат проверки отображения каталогов на файловом ресурсе, согласно нашему доступу.

 

 

 

 

 

 

 

Из всего перечисленного и продемонстрированного данной заметки можно перенастроить уже имеющиеся файловые ресурсы и привести к виду, что пользователи видят и работают только с теми документами, которые им нужны для выполнения своих обязанностей и не более и не менее. На этом всё, удачи!!!

 

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

восемнадцать − 10 =