Access Based Enumeration in Windows Server: Ordner bei fehlenden Rechten ausblenden

    Welche Funktionen soll eine Lösung für das Management mobiler Geräte (EMM) beherrschen? Kostenlose Check-Liste von baramundi herunterladen »

    (Anzeige)

    Die einfache Dateifreigabe aktiviert ABE per Voreinstellung.Unter Windows Server 2003 R2 führte Microsoft die Access Based Enumeration (ABE bzw. Zugriffsbasierte Aufzählung) als separat zu installierendes Add-on ein. Seine Aufgabe besteht darin, Ordner und Dateien für Benutzer auszublenden, wenn sie dafür nicht die erforderlichen Zugriffsrechte besitzen. Seit Windows Server 2008 ist ABE Teil des Betriebssystems, allerdings fallen die Integration inkonsistent und der Tools-Support schlechter aus.

    Das wesentliche Anliegen hinter den ABE besteht darin, Benutzern von File-Servern einen höheren Komfort zu bieten und gleichzeitig mehr Sicherheit zu erreichen. Sie verhindern, dass Anwender durch Verzeichnisbäume navigieren können, in denen sie ohnehin keine Befugnisse haben. Dies erhöht vor allem für weniger geübte User die Übersichtlichkeit und schützt davor, dass Neugierige aufgrund der Ordnerstrukturen Rückschlüsse auf deren Inhalte ziehen.

    Nur NTFS-Rechte bestimmen Sichtbarkeit

    Wird für eine Freigabe ABE aktiviert, dann setzt Windows dort ein Flag (ENFORCE_NAMESPACE_ACCESS), das die Sichtbarkeit von darunter liegenden Verzeichnisse und Dateien abhängig von den Benutzerrechten einschränkt. Dieses steht in keinem Zusammenhang mit den normalen Dateiattributen wie etwa Hidden. Ausschlaggebend für ABE sind in dem Nebeneinander von Share- und Dateisystemrechten ausschließlich die Rechte auf NTFS-Ebene, jene für die Freigabe spielen dabei keine Rolle.

    Access Based Enumeration hat keinen Einfluss auch das Rechtesystem selbst, sondern regelt nur die Sichtbarkeit abhängig von den bestehenden Befugnissen. In manchen Forenbeiträgen taucht dennoch das Missverständnis auf, dass man ABE nutzen könnte, um generell Ordner vor Benutzern zu verstecken.

    Probleme mit ABE verweisen auf Rechteprobleme

    Die enge Verbindung mit den NTFS-Rechten bedeutet natürlich, dass deren Eigenheiten bei ABE durchschlagen, wie etwa bei der Mitnahme von Rechten beim Kopieren und Verschieben von Dateien. Entsprechendes gilt auch, wenn sich die Rechte aufgrund der Vererbung aus übergeordneten Verzeichnissen ändern. Unerwünschte Resultate bei ABE verweisen in der Regel dann auf die eigentlichen und schwerer wiegenden Probleme beim Rechte-Management.

    Windows besitzt bekanntlich mehrere verschiedene Mechanismen, um Verzeichnisse im Netz freizugeben. Allerdings erlauben nicht alle, ABE zu aktivieren oder zu deaktivieren. Kompliziert wird das Ganze noch zusätzlich dadurch, dass ein Verfahren per Voreinstellung ABE einschaltet, ein anderes dagegen nicht.

    ABE-Aktivierung abhängig von der Freigabemethode

    So schaltet die normale Freigabe im Windows Explorer (Freigeben für) ABE standardmäßig ein, die Erweiterte Freigabe jedoch nicht. Inaktiv bleibt die Access Based Enumeration ebenfalls bei net share sowie bei den vorgegebenen administrativen Shares wie c$ oder admin$.

    Die Freigabe- und Speicherverwaltung ist in der Lage, das ABE-Flag für ein Network-Share zu ändern.

    Egal ob eine der genannten Methoden ABE per Voreinstellung aktiviert oder nicht, sie bieten allesamt keine Möglichkeit, den Vorgabewert zu ändern. Dies ist der Freigabe- und Speicherverwaltung vorbehalten, wo man unter Eigenschaften => Erweitert das Häkchen bei Zugriffsbasierte Aufzählung aktivieren setzen oder entfernen kann. Gibt man ein Verzeichnis gleich über dieses Tool frei, dann verzichtet der dafür zuständige Wizard per default ebenfalls auf die Aktivierung von ABE.

    ABECMD fehlt unter Windows Server 2008 R2

    Unter Windows Server 2003 R2 brachte das separate Add-on ein Kommandozeilen-Tool namens ABECMD mit, das Access Based Enumeration für alle Freigaben eines Servers auf einen Rutsch ein- oder ausschalten konnte. Dieses fehlt in Windows Server 2008 R2, verschiedene Forenbeiträge weisen aber darauf hin, dass man die Version für Windows 2003 herunterladen und unter 2008 R2 ausführen könne. Als Alternative bietet sich zudem die Freeware ShrFlgs an.

    Zu den offiziellen Neuerungen von ABE unter Windows Server 2008 gehört auch die Unterstützung für DFS. Allerdings führt ein älterer Blog-Beitrag auf TechNet vor, wie man unter Windows Server 2003 R2 ABE zusammen mit DFS nutzen kann.

    Keine Kommentare