Технологія Access Based Enumeration (ABE) дослівно перекладається як "Перерахування на підставі доступу" і дозволяє на загальних мережевих папках (кулях) приховати від користувача ті файли \ папки, до яких у нього немає прав доступу. Справа в тому, що при наявності доступу до спільної папки користувач може бачити все що знаходяться в ній об'єкти (файли і папки), незалежно від наявності до них доступу.

За замовчуванням процес доступу до мережевої папці відбувається таким чином:

• Користувач може з'єднуватися із сервером і запитує доступ до спільної папки;
• Сервер (точніше служба LanmanServer, що відповідає за загальний доступ до файлів і папок) перевіряє, чи є у користувача дозволу файлової системи на читання \ лістинг даної папки, і при їх наявності повертає список всіх файлів і папок, в ній знаходяться;
• Користувач вибирає зі списку, що цікавить його (файл або папку) і намагається його відкрити;
• Сервер перевіряє, чи є у користувача необхідні права доступу.Якщо права є - то користувачеві повертається необхідний об'єкт, якщо немає - видається помилка доступу.

При такій послідовності дій сервер спочатку видає користувачеві список всього вмісту папки, а права доступу до окремих файлів \ папок всередині неї перевіряє потім, при спробі доступу до них.Звичайно, без необхідних прав користувач все одно на зможе отримати доступ до об'єкта, але набагато гуманніше буде приховати від нього те, до чого у нього все одно немає доступу.

Як раз для цього і призначена технологія Access Based Enumeration . При активації ABE сервер починає перевіряти права користувача на вміст папки перед тим, як відправити йому список.Таким чином користувачеві будуть перераховані тільки ті ресурси, на які у нього є необхідні права - перегляд вмісту (list contents) для папок і читання (read) для окремих файлів.

Включення Access Based Enumeration

Процедура включення ABE вкрай проста. Для настройки на окремому сервері відкриваємо Server Manager і на головній сторінці вибираємо роль сервера «File and Storage Services».

Примітка. Для включення Access Based Enumeration необхідна роль сервера File and Storage Services.

Потім переходимо в розділ « Shares »і вибираємо зі списку кулі, для якої треба включити ABE. Кількома на ній правою клавішею і в меню вибираємо пункт «Properties».

І потім в властивості кулі ставимо галку в полі «Enable access-based enumeration».

При управлінні загальними папками централізовано, через переваги групових політик (Group Policies Preferences), у властивостях папки також є можливість вказати, чи буде включений для неї ABE.

Ну і як приклад - так виглядає папка з включеною ABE для адміністратора сервера

А так для звичайного користувача.

Таким чином, технологія ABE полегшує життя як користувачам, так і адміністраторам. Користувач позбавлений від зайвої інформації і у нього не виникає спокуси отримати до неї доступ, а адміністратор більше не повинен відповідати на питання з приводу відсутності доступу.Крім того, ABE вкрай проста в налаштуванні і практично не має особливих вимог до сервера і клієнта. Однак є у ABE і недолік - додаткове навантаження на сервер. Навантаження безпосередньо залежить від кількості користувачів на сервері і кількості об'єктів в просматриваемом каталозі.При великому навантаженні швидкість відкриття папки може помітно зменшитися.

Висновок

На закінчення кілька зауважень з приводу використання ABE:

• ABE контролює тільки список вмісту загальних папок, але не приховує від користувачів список цих папок на сервері.Тому при підключенні до сервера користувач бачитиме все загальні папки. Якщо вам необхідно створити приховану кулі, то можна просто додати до її імені знак $, наприклад Doc $;
• ABE не працює при локальному вході в систему або при підключенні по RDP;
• Члени групи локальних адміністраторів завжди бачать повний список вмісту папки..