خوش آموز درخت تو گر بار دانش بگیرد، به زیر آوری چرخ نیلوفری را
Access Based Enumeration چیست و چگونه آن را در ویندوز سرور پیکربندی کنیم
به طور پیش فرض، هنگامی که کاربر برخی از فولدرهای share شده شبکه ای را باز می کند، SMB لیست کاملی از فایل ها و فولدرهای روی آن را نمایش می دهد. البته اگر کاربر مجوز دسترسی به Share فولدر مربوطه را داشته باشد. Access Based Enumeration یا ABE این امکان را برای ما فراهم می کند تا فایل ها وفلدرهایی که کاربر بدان دسترسی ندارد اصلا نمایش داده نشود و مانع از کنجکاوری بیجای کاربران شود. پس فایل ها و فولدرهایی که کاربر بدان دسترسی ندارد را پنهان می کند(البته از طریق شبکه).
Access Based Enumeration از ویندوز سرور 2003 سرویس پک 1 در دسترس برای استفاده است.
مراحل زیر در ویندوز سرور 2016 انجام شده ولی در ویندوز سرورهای قبلی و بعدی روش به همین صورت می باشد.
به طور پیش فرض، روند دسترسی به فولدر Share شده در شبکه به صورت زیر انجام می شود:
➊کاربر به سرور متصل می شود و درخواست دسترسی به فولدر Share شده را دارد.
➋سرویس LanmanServer در سرور (مسئول به share کردن فایل ها و فولدرها) بررسی می کند که آیا کاربر دارای مجوزهای NTFS برای read/list محتوای فولدر است یا خیر.
➌سپس کاربر فایل یا فولدری را در آن انتخاب می کند(آن را باز می کند) که بدان نیاز دارد.
➍سرور بررسی می کند که آیا کاربر از حقوق و مجوزهای دسترسی لازم برخوردار است یا خیر. اگر کاربری مجوزهای لازم را داشته باشد مورد به وی نمایش داده می شود و اگر هیچ دسترسی ای نداشته باشد خطای access denied نمایش داده می شود.
طبق این الگوریتم، سرور در ابتدای امر لیستی از تمامی محتوای موجود در فولدر Share شده را نمایش می دهد. سرور فقط در صورتی که کاربر درصدد دسترسی به فایل ها و فولدرهای درون Share فولدر باشد مجوزهای دسترسی را بررسی می کند.
ولی با استفاده از ABE، فقط منابعی به کاربر نمایش داده می شود که مجوزهای لازم در مورد آنها را دارد.
➊ABE فقط لیست مطالب موجود در یک فولدر Share شده را کنترل می کند. پس فولدرهای share شده از دید کاربران پنهان نمی شود. بنابراین، هنگامی که یک کاربر به سرور متصل می شود، تمام فولدرهای Share شده را مشاهده می کند.چنانچه شما نیاز به Share مخفی دارید در انتهای ShareName یک $ اضافه کنید.
➋ABE فقط از طریق لاگین شبکه ای که برای دسترسی به Share ها است کار می کند و در صورتی که کاربر به صورت لوکالی به سرور لاگین کند و از از طریق ریموت دسکتاپ به سرور دسترسی پیدا کند، محدودیت های ABE شامل حال وی نخواهد شد.
➌ضمنا ABE شامل حال local Administrators group نمی شود. آنها همیشه می توانند محتوای فولدرهای Share را مشاهده کنند.
ABE به صورت جداگانه برای هر پوشه فعال است. برای پیکربندی ABE، کنسول Server Manager را باز کرده و File and Storage Services را انتخاب کنید.
روش های باز کردن کنسول Server Manager در ویندوز سرور
آشنایی با کنسول Server Manager ویندوز سرور
نحوه افزودن و گروه بندی کردن سرورها در کنسول Server Manager ویندوز سرور
نحوه اضافه کردن سرورهای Workgroup به کنسول Server Manager
برای فعال کردن Access Based Enumeration باید حتما Role مربوط به File and Storage Services در سرور نصب شده باشد.
سپس مانند تصویر زیر به بخش Shares بروید و روی یکی از فولدرهای Share شده که قصد فعال کردن ABE روی آن دارید کلیک راست کرده و از آن Properties بگیرید.
در پنجره properties به تب Settings بروید. سپس مانند تصویر زیر تیک گزینه Enable access-based enumeration را فعال کنید.
شما همچنین می توانید access-based enumeration را برای یک Share Folder با کمک دستورات پاورشل هم فعال کنید. اینکار را با دستور Set-SmbShare انجام می دهیم.
در دستور فوق به جای Share باید نام Share name خود را جایگزین کنید.
اگر تنظیمات public folder ها را از طریق Group Policy (Computer Configuration > Preferences > Windows Settings > Network Shares) مدیریت کنید، می توانید ABE را در تب share فرم Properties آن فعال کنید.
محتوای یک فولدر share شده که ABE روی آن فعال است بصورت زیر است.
حالا کاربرن عادی که دسترسی به محتوایت یا برخی از محتویات ندارند بصورت زیر آن را مشاهده می کنند.
با فعال کردن تکنولوژی ABE روی فولدرهای Share شده، محتویات برای کاربرانی که دسترسی ندارند نمایش داده نمی شود. ادمین ها حتما با تماس کاربران در خصوص اینکه چرا به فایلی یا فولدری در Share فولدر دسترسی ندارند مواجه شده اند. با فعال کردن ABE دیگر این تماس ها به هر طریقی قطع می شود چون کاربر اساسا وقتی مجوزهای حداقلی(مجوز Content folder در خصوص فولدرها و Read برای فایل ها) را نداشته باشد، آن محتوا را مشاهده نمی کند و از دیدرس وی مخفی است.
اما باید توجه داشته باشید که Access Based Enumeration بار اضافی روی سرور خواهد داشت که میران بستگی به تعداد فولدرهای Shareشده در سرور و همین طور تعداد کاربران دارد. وقتی لود زیادی روی سرور باشد، روند دسترسی کاربران و باز شدن فایل ها و فولدرها ممکن است کمی با تاخیر و Delay همراه باشد.
Access Based Enumeration از ویندوز سرور 2003 سرویس پک 1 در دسترس برای استفاده است.
مراحل زیر در ویندوز سرور 2016 انجام شده ولی در ویندوز سرورهای قبلی و بعدی روش به همین صورت می باشد.
Access Based Enumeration on Server 2016
به طور پیش فرض، روند دسترسی به فولدر Share شده در شبکه به صورت زیر انجام می شود:
➊کاربر به سرور متصل می شود و درخواست دسترسی به فولدر Share شده را دارد.
➋سرویس LanmanServer در سرور (مسئول به share کردن فایل ها و فولدرها) بررسی می کند که آیا کاربر دارای مجوزهای NTFS برای read/list محتوای فولدر است یا خیر.
➌سپس کاربر فایل یا فولدری را در آن انتخاب می کند(آن را باز می کند) که بدان نیاز دارد.
➍سرور بررسی می کند که آیا کاربر از حقوق و مجوزهای دسترسی لازم برخوردار است یا خیر. اگر کاربری مجوزهای لازم را داشته باشد مورد به وی نمایش داده می شود و اگر هیچ دسترسی ای نداشته باشد خطای access denied نمایش داده می شود.
طبق این الگوریتم، سرور در ابتدای امر لیستی از تمامی محتوای موجود در فولدر Share شده را نمایش می دهد. سرور فقط در صورتی که کاربر درصدد دسترسی به فایل ها و فولدرهای درون Share فولدر باشد مجوزهای دسترسی را بررسی می کند.
ولی با استفاده از ABE، فقط منابعی به کاربر نمایش داده می شود که مجوزهای لازم در مورد آنها را دارد.
برخی ویژگی های ABE:
➊ABE فقط لیست مطالب موجود در یک فولدر Share شده را کنترل می کند. پس فولدرهای share شده از دید کاربران پنهان نمی شود. بنابراین، هنگامی که یک کاربر به سرور متصل می شود، تمام فولدرهای Share شده را مشاهده می کند.چنانچه شما نیاز به Share مخفی دارید در انتهای ShareName یک $ اضافه کنید.
➋ABE فقط از طریق لاگین شبکه ای که برای دسترسی به Share ها است کار می کند و در صورتی که کاربر به صورت لوکالی به سرور لاگین کند و از از طریق ریموت دسکتاپ به سرور دسترسی پیدا کند، محدودیت های ABE شامل حال وی نخواهد شد.
➌ضمنا ABE شامل حال local Administrators group نمی شود. آنها همیشه می توانند محتوای فولدرهای Share را مشاهده کنند.
ABE به صورت جداگانه برای هر پوشه فعال است. برای پیکربندی ABE، کنسول Server Manager را باز کرده و File and Storage Services را انتخاب کنید.
روش های باز کردن کنسول Server Manager در ویندوز سرور
آشنایی با کنسول Server Manager ویندوز سرور
نحوه افزودن و گروه بندی کردن سرورها در کنسول Server Manager ویندوز سرور
نحوه اضافه کردن سرورهای Workgroup به کنسول Server Manager
برای فعال کردن Access Based Enumeration باید حتما Role مربوط به File and Storage Services در سرور نصب شده باشد.
سپس مانند تصویر زیر به بخش Shares بروید و روی یکی از فولدرهای Share شده که قصد فعال کردن ABE روی آن دارید کلیک راست کرده و از آن Properties بگیرید.
در پنجره properties به تب Settings بروید. سپس مانند تصویر زیر تیک گزینه Enable access-based enumeration را فعال کنید.
شما همچنین می توانید access-based enumeration را برای یک Share Folder با کمک دستورات پاورشل هم فعال کنید. اینکار را با دستور Set-SmbShare انجام می دهیم.
Set-SmbShare -Name "Share" -FolderEnumerationMode AccessBased
در دستور فوق به جای Share باید نام Share name خود را جایگزین کنید.
اگر تنظیمات public folder ها را از طریق Group Policy (Computer Configuration > Preferences > Windows Settings > Network Shares) مدیریت کنید، می توانید ABE را در تب share فرم Properties آن فعال کنید.
محتوای یک فولدر share شده که ABE روی آن فعال است بصورت زیر است.
حالا کاربرن عادی که دسترسی به محتوایت یا برخی از محتویات ندارند بصورت زیر آن را مشاهده می کنند.
با فعال کردن تکنولوژی ABE روی فولدرهای Share شده، محتویات برای کاربرانی که دسترسی ندارند نمایش داده نمی شود. ادمین ها حتما با تماس کاربران در خصوص اینکه چرا به فایلی یا فولدری در Share فولدر دسترسی ندارند مواجه شده اند. با فعال کردن ABE دیگر این تماس ها به هر طریقی قطع می شود چون کاربر اساسا وقتی مجوزهای حداقلی(مجوز Content folder در خصوص فولدرها و Read برای فایل ها) را نداشته باشد، آن محتوا را مشاهده نمی کند و از دیدرس وی مخفی است.
اما باید توجه داشته باشید که Access Based Enumeration بار اضافی روی سرور خواهد داشت که میران بستگی به تعداد فولدرهای Shareشده در سرور و همین طور تعداد کاربران دارد. وقتی لود زیادی روی سرور باشد، روند دسترسی کاربران و باز شدن فایل ها و فولدرها ممکن است کمی با تاخیر و Delay همراه باشد.
نمایش دیدگاه ها (0 دیدگاه)
دیدگاه خود را ثبت کنید: