Ocultando ficheros y carpetas de un share con ABE en Windows Server 2003


Hola, soy Javier Rama, del equipo de Directorio Activo / Networking.


Hace algunos días, un cliente nos preguntaba cómo ocultar las carpetas y ficheros de un share a los usuarios que no tienen permisos para acceder a ellos.


Para acometer dicha tarea, tenemos disponible la tecnología ABE (Access Based Enumeration) gracias a la cual, el servidor de ficheros ocultará las carpetas y ficheros en función de los permisos del usuario que accede a dicho recurso.


ABE es una funcionalidad que está incluida en Windows Vista y en Windows Server 2008, pero además está disponible como descarga para Windows Server 2003 en el siguiente enlace:


Microsoft Download Center:  Windows Server 2003 Access-based Enumeration


http://www.microsoft.com/downloads/details.aspx?FamilyId=04A563D9-78D9-4342-A485-B030AC442084&displaylang=en


Antes de habilitar ABE sobre cualquier recurso compartido, debemos tener en cuenta las siguientes consideraciones:


· ABE está pensada únicamente para shares de red, por ejemplo \\servidor\carpeta. Sin embargo, si accedemos a través del explorador (ruta C:\carpeta por ejemplo) esta tecnología no nos servirá.


· Además, también es oportuno apuntar que, habilitar ABE sobre una carpeta compartida añade una carga extra de CPU al servidor (el cual comprobará los permisos del usuario que intenta acceder con el contenido de la carpeta, y determinar así qué elementos mostrar).  En escenarios en los que se produzcan muchos accesos a los recursos, será necesario tener en cuenta este punto.


CONFIGURANDO ABE



1- Una vez instalado ABE, será necesario habilitarlo en cada uno de los shares que deseemos. Para ello podemos proceder de dos maneras:



a) A través de la interfaz gráfica de usuario (Clic derecho sobre el share -> Propiedades -> Pestaña Access Based Enumeration -> Marcar checkbox Enable Access-based Enumeration in this shared folder ).



b) Desde línea de comando a través de la herramienta  abecmd



Se puede encontrar información detallada sobre este comando en en siguiente enlace:


Windows Server 2003 Access-based Enumeration


http://www.microsoft.com/windowsserver2003/techinfo/overview/abe.mspx



2- Una vez habilitado ABE sobre un share y, habiendo configurado los permisos oportunos para los distintos usuarios, conseguiremos el efecto que aparece en las siguientes capturas (los ejemplos que aparecen a continuación corresponden al enlace anterior):




Figura1



Figura 1 – Recurso compartido “Customer Accounts” con ABE deshabilitado.



Como vemos en la Figura 1, el usuario puede ver todo el contenido del share independientemente de tener permisos de acceso para cada elemento o no.


Con el checkbox Enable access-based enumeration on this folder habilitado desde las propiedades de la carpeta “Customer Accounts” , el usuario únicamente ve las carpetas a las cuales puede acceder (Figura 2).




Figura2






Figura 2 – Recurso compartido “Customer Accounts” con ABE habilitado.


 


– Javier Rama del Castillo

Comments (5)

  1. Anonymous says:

    Buen día,

    ¿Alguna recomendacion sobre mejores práticas en la utilización de ABE en un fileserver?

    Algo como n° de niveles en árboles

    N° de raices

    etc…

    Saludos!

    Erick Rebollo

  2. Omar Hernandez says:

    He hecho eso al pie de la letra y no logro obtener ese resultado, ingreso al recurso y sigue mostrando todas las carpetas. Alguna idea de por qué?.

    Saludos

  3. Jose Lopez says:

    tengo windows server 2012, en esta version es necesario instalar ABE o solo con habilitar la opcion de ABE la cual ya esta en el sistema?