Ocultando ficheros y carpetas de un share con ABE en Windows Server 2003

Hola, soy Javier Rama, del equipo de Directorio Activo / Networking.

Hace algunos días, un cliente nos preguntaba cómo ocultar las carpetas y ficheros de un share a los usuarios que no tienen permisos para acceder a ellos.

Para acometer dicha tarea, tenemos disponible la tecnología ABE (Access Based Enumeration) gracias a la cual, el servidor de ficheros ocultará las carpetas y ficheros en función de los permisos del usuario que accede a dicho recurso.

ABE es una funcionalidad que está incluida en Windows Vista y en Windows Server 2008, pero además está disponible como descarga para Windows Server 2003 en el siguiente enlace:

Microsoft Download Center: Windows Server 2003 Access-based Enumeration

https://www.microsoft.com/downloads/details.aspx?FamilyId=04A563D9-78D9-4342-A485-B030AC442084&displaylang=en

Antes de habilitar ABE sobre cualquier recurso compartido, debemos tener en cuenta las siguientes consideraciones:

· ABE está pensada únicamente para shares de red, por ejemplo \\servidor\carpeta. Sin embargo, si accedemos a través del explorador (ruta C:\carpeta por ejemplo) esta tecnología no nos servirá.

· Además, también es oportuno apuntar que, habilitar ABE sobre una carpeta compartida añade una carga extra de CPU al servidor (el cual comprobará los permisos del usuario que intenta acceder con el contenido de la carpeta, y determinar así qué elementos mostrar).  En escenarios en los que se produzcan muchos accesos a los recursos, será necesario tener en cuenta este punto.

CONFIGURANDO ABE

1- Una vez instalado ABE, será necesario habilitarlo en cada uno de los shares que deseemos. Para ello podemos proceder de dos maneras:

a) A través de la interfaz gráfica de usuario (Clic derecho sobre el share -> Propiedades -> Pestaña Access Based Enumeration -> Marcar checkbox Enable Access-based Enumeration in this shared folder ).

b) Desde línea de comando a través de la herramienta  abecmd

Se puede encontrar información detallada sobre este comando en en siguiente enlace:

Windows Server 2003 Access-based Enumeration

https://www.microsoft.com/windowsserver2003/techinfo/overview/abe.mspx

2- Una vez habilitado ABE sobre un share y, habiendo configurado los permisos oportunos para los distintos usuarios, conseguiremos el efecto que aparece en las siguientes capturas (los ejemplos que aparecen a continuación corresponden al enlace anterior):

Figura1

Figura 1 - Recurso compartido “Customer Accounts” con ABE deshabilitado.

Como vemos en la Figura 1, el usuario puede ver todo el contenido del share independientemente de tener permisos de acceso para cada elemento o no.

Con el checkbox Enable access-based enumeration on this folder habilitado desde las propiedades de la carpeta “Customer Accounts ” , el usuario únicamente ve las carpetas a las cuales puede acceder (Figura 2).

Figura2

Figura 2 - Recurso compartido “Customer Accounts” con ABE habilitado.

 

- Javier Rama del Castillo