Zugriffsbasierte Auflistungen von Netzwerkfreigaben mit "ABE"

Autor: windows-server-praxis.de

 

Netzwerkfreigaben zeigen Ihren Benutzern immer sämtliche Verzeichnisse an, auch wenn sie überhaupt keinen Zugriff auf das jeweilige Verzeichnis haben. In der Praxis führt das zu Support-Anrufen bei Zugriffsfehlern. Netzwerkfreigaben sind zudem ein Sicherheitsrisiko, da Mitarbeiter alle Verzeichnisse der Freigabe kennen. Abhilfe schafft der Einsatz von Access Based Enumeration (ABE). Lesen Sie hier wie Sie ABE in der Praxis einrichten.

Mit der Access Based Enumeration-Funktion (ABE, „zugriffsbasierte Auflistung“) machen Sie endlich nur die Verzeichnisse von Netzwerkfreigaben für Benutzer sichtbar, auf die sie dank ihrer NTFS-Berechtigungen auch Zugriff haben. Alle anderen Verzeichnisse auf der Netzwerkfreigabe bleiben den Nutzern verborgen. Diese schon aus Novell-Zeiten bekannte Funktion ist standardgemäß leider nicht aktiv.

Voraussetzungen: Server 2003 mit Service Pack 1 und ABE-Tool

ABE wurde mit  Service Pack  für Windows Server 2003 eingeführt. Es steht Ihnen in allen Versionen von Windows Server 2003 mit Service Pack 1 zur Verfügung. Um ABE zu nutzen, benötigen Sie ein weiteres Microsoft-Tool [1], das Sie auf Ihrem Server  installieren müssen. Während der Installation werden Sie bereits gefragt, ob ABE standardmäßig für alle Netzwerkfreigaben aktiviert werden soll. Verneinen Sie  diese  Frage zunächst mit  der Auswahl „I will enable Access-based Enumeration on individual shared folders“, um die Funktion erst zu testen. Nach Ihrem Test können Sie ABE immer noch für alle Freigaben aktivieren.

Beachten Sie: Für den Einsatz von ABE auf einem Distributed File System (DFS) stellt Microsoft in seiner Knowledgebase eine Anleitung zur Verfügung (siehe Link unten).

So setzen Sie ABE für Ihre Netzwerkfreigaben ein

Um ABE für eine Netzwerkfreigabe einzuschalten, öffnen Sie die Eigenschaften der Netzwerkfreigabe und wechseln zum neuen Register „Access-based Enumeration“. Aktivieren Sie hier die obere Option (siehe Abbildung unten).

Nun  sehen Ihre Benutzer in der Netzwerkfreigabe nur noch die Verzeichnisse und Dateien, auf die sie auch Zugriff haben. Sie können es selbst testen: Öffnen Sie die Eigenschaften eines Verzeichnisses und  wechseln Sie zum Register „Sicherheit“. Verweigern Sie einem Benutzer hier z. B. explizit die Zugriffsrechte, sieht er das Verzeichnis auch nicht mehr in seiner Netzwerkfreigabe.

Abb. 1

ABE aktivieren: Mit der oberen Option aktivieren Sie ABE für die konkrete Freigabe. Wenn Sie auch die untere Option ankreuzen, gilt ABE für alle Freigaben auf Ihrem Server.

Quellen & Links

[1] Microsoft-Knowledgebase für DFS inkl. Download-Link für das ABE-Tool:
 http://support.microsoft.com/kb/907458

 

© MCSEboard.de, windows-server-praxis.de