विंडोज सर्वर पर एक्सेस-आधारित एन्यूमरेशन (एबीई) कैसे सक्षम करें?

पहुंच-आधारित गणना (एबीई) उन उपयोगकर्ताओं से वस्तुओं (फ़ाइलों और फ़ोल्डरों) को छिपाने की अनुमति देता है जिनके पास नेटवर्क साझा फ़ोल्डर पर एनटीएफएस अनुमतियां (पढ़ें या सूची) नहीं हैं ताकि उन्हें एक्सेस किया जा सके। इस प्रकार आप एक साझा फ़ोल्डर में संग्रहीत डेटा की अतिरिक्त गोपनीयता प्रदान कर सकते हैं (फ़ोल्डरों और फ़ाइलों की संरचना और नाम छिपाने के कारण), इसकी उपयोगिता में सुधार करें क्योंकि उपयोगकर्ताओं को अजीब डेटा नहीं दिखाई देगा (उनके पास पहुंच नहीं है) और, क्या है अधिक महत्वपूर्ण, सिस्टम व्यवस्थापक को उपयोगकर्ताओं के निरंतर प्रश्नों से बचाएं "मैं इस फ़ोल्डर तक क्यों नहीं पहुंच सकता !!!" . आइए इस तकनीक पर विचार करने की कोशिश करें, कॉन्फ़िगरेशन की ख़ासियत और विंडोज के विभिन्न संस्करणों में एबीई के उपयोग के बारे में विवरण में।

Windows में साझा किए गए फ़ोल्डर तक पहुंच कैसे काम करती है?

विंडोज़ में नेटवर्क शेयर्ड फोल्डर तकनीक की कमियों में से एक यह तथ्य है कि डिफ़ॉल्ट रूप से सभी उपयोगकर्ता कम से कम इसकी संरचना और ऐसे फ़ोल्डर में सभी फाइलों और निर्देशिकाओं की सूची देख सकते हैं, जिनमें वे भी शामिल हैं जिन्हें एक्सेस करने के लिए एनटीएफएस अनुमति नहीं है ( ऐसी फ़ाइल या फ़ोल्डर को खोलने का प्रयास करते समय, उपयोगकर्ता को "पहुँच अस्वीकृत" . त्रुटि प्राप्त होती है ) उन फ़ाइलों और फ़ोल्डरों को उन उपयोगकर्ताओं से क्यों नहीं छिपाया जाए जिनके पास उन्हें एक्सेस करने की अनुमति नहीं है? एक्सेस-आधारित एन्यूमरेशन इसे करने में मदद कर सकता है। किसी साझा फ़ोल्डर पर ABE को सक्षम करके, आप यह सुनिश्चित कर सकते हैं कि अलग-अलग उपयोगकर्ता उपयोगकर्ता की व्यक्तिगत एक्सेस अनुमतियों (ACL) के आधार पर एक ही नेटवर्क साझा में फ़ोल्डर और फ़ाइलों की एक अलग सूची देखते हैं।

SMB पर साझा किए गए फ़ोल्डर तक पहुँचने पर क्लाइंट और सर्वर के बीच बातचीत कैसे होती है?

• एक क्लाइंट सर्वर से नेटवर्क साझा फ़ोल्डर में एक निर्देशिका तक पहुंचने का अनुरोध करता है;
• सर्वर पर LanmanServer सेवा इस फ़ोल्डर तक पहुँचने के लिए उपयोगकर्ता अनुमतियों की जाँच करती है;
• यदि पहुँच की अनुमति है (NTFS अनुमतियाँ:सूची सामग्री, पढ़ें या लिखें), उपयोगकर्ता निर्देशिका सामग्री देखता है;
• फिर उपयोगकर्ता उसी तरह किसी फ़ाइल या सबफ़ोल्डर तक पहुंच का अनुरोध करता है (आप देख सकते हैं कि इस तरह के नेटवर्क फ़ोल्डर में एक विशिष्ट फ़ाइल किसने खोली है);
• यदि प्रवेश निषेध है, तो उपयोगकर्ता को तदनुसार सूचित किया जाता है।

इस योजना के अनुसार, यह स्पष्ट हो जाता है कि सर्वर पहले उपयोगकर्ता को फ़ोल्डर की संपूर्ण सामग्री दिखाता है, और NTFS अनुमतियों की जाँच तभी की जाती है जब उपयोगकर्ता किसी विशिष्ट फ़ाइल या फ़ोल्डर को खोलने का प्रयास करता है।

एक्सेस-आधारित गणना (ABE ) उपयोगकर्ता को फ़ोल्डर सामग्री की सूची प्राप्त करने से पहले फ़ाइल सिस्टम ऑब्जेक्ट्स पर एक्सेस अनुमतियों की जांच करने की अनुमति देता है। इसलिए, अंतिम सूची में केवल वे ऑब्जेक्ट शामिल हैं जिन्हें उपयोगकर्ता के पास एक्सेस करने के लिए NTFS अनुमतियाँ हैं (कम से कम केवल-पढ़ने की अनुमति), और सभी दुर्गम संसाधन बस प्रदर्शित नहीं होते हैं (छिपे हुए)।

इसका मतलब है कि एक विभाग (जैसे गोदाम) के एक उपयोगकर्ता को एक साझा फ़ोल्डर (\\filesrv1\docs) में फ़ाइलों और फ़ोल्डरों की एक सूची दिखाई देगी। जैसा कि आप देख सकते हैं, उपयोगकर्ता के लिए केवल दो फ़ोल्डर प्रदर्शित होते हैं:सार्वजनिक और गोदाम।

और दूसरे विभाग के उपयोगकर्ता के लिए, e. जी।, आईटी विभाग (जो एक अन्य विंडोज सुरक्षा समूह में शामिल है), सबफ़ोल्डर्स की एक अलग सूची दिखाई जाती है। सार्वजनिक और वेयरहाउस निर्देशिकाओं के अतिरिक्त, यह उपयोगकर्ता उसी नेटवर्क फ़ोल्डर में 5 और निर्देशिका देखता है।

Windows फ़ाइल सर्वर पर ABE का उपयोग करने का मुख्य नुकसान सर्वर पर अतिरिक्त लोड . है . यह उच्च लोड फ़ाइल सर्वरों में विशेष रूप से प्रमुख है। देखी गई निर्देशिका में जितने अधिक ऑब्जेक्ट हैं, और जितने अधिक उपयोगकर्ता उस पर फ़ाइलें खोलते हैं, उतनी ही अधिक देरी होती है। Microsoft के अनुसार, यदि प्रदर्शित फ़ोल्डर में 15,000 ऑब्जेक्ट (फ़ाइलें और निर्देशिका) हैं, तो एक फ़ोल्डर 1-3 सेकंड धीमी गति से खुल रहा है। यही कारण है कि साझा फ़ोल्डर संरचना को डिज़ाइन करते समय स्पष्ट और पदानुक्रमित सबफ़ोल्डर संरचना बनाने पर अधिक ध्यान देने की अनुशंसा की जाती है ताकि फ़ोल्डरों को कम स्पष्ट रूप से खोलने में देरी हो सके।

आप कमांड प्रॉम्प्ट से ABE को प्रबंधित कर सकते हैं (abecmd.exe उपयोगिता), जीयूआई, पावरशेल या एक विशेष एपीआई से।

पहुंच-आधारित गणना प्रतिबंध

विंडोज़ पर एक्सेस-आधारित एन्यूमरेशन निम्नलिखित मामलों में काम नहीं करता है:

• यदि आप सर्विस पैक 1 के बिना Windows XP या Windows Server 2003 का फ़ाइल सर्वर के रूप में उपयोग कर रहे हैं;
• यदि आप स्थानीय रूप से निर्देशिका देख रहे हैं (सीधे सर्वर से);
• स्थानीय फ़ाइल सर्वर व्यवस्थापक समूह के सदस्यों के लिए (वे हमेशा फाइलों की पूरी सूची देखते हैं)।

Windows Server 2008/2008 R2 पर ABE का उपयोग करना

एक्सेस आधारित गणना कार्यक्षमता का उपयोग करने के लिए विंडोज सर्वर 2008/आर 2 में कोई अतिरिक्त घटक स्थापित करने की आवश्यकता नहीं है, क्योंकि एबीई प्रबंधन सुविधा पहले से ही विंडोज जीयूआई में बनाई गई है। Windows Server 2008/2008 R2 में एक निश्चित फ़ोल्डर के लिए एक्सेस-आधारित गणना को सक्षम करने के लिए, MMC प्रबंधन कंसोल साझा करें और संग्रहण प्रबंधन खोलें। (प्रारंभ -> कार्यक्रम -> प्रशासनिक उपकरण -> शेयर और भंडारण प्रबंधन)। आवश्यक शेयर की संपत्तियों पर जाएं। फिर उन्नत . पर जाएं सेटिंग्स और चेक करें पहुंच-आधारित गणना सक्षम करें ।

Windows Server 2012 R2/2016 पर एक्सेस-आधारित गणना को कॉन्फ़िगर करना

Windows Server 2012 R2/2016 में ABE कॉन्फ़िगरेशन भी बहुत सरल है। Windows Server 2012 में ABE को सक्षम करने के लिए, आपको सबसे पहले फ़ाइल और संग्रहण सेवा भूमिका स्थापित करनी होगी , और फिर सर्वर मैनेजर में शेयर प्रॉपर्टीज पर जाएं।

सेटिंग . में अनुभाग विकल्प चेक करें पहुंच-आधारित गणना सक्षम करें ।

Windows Server 2003 पर एक्सेस-आधारित एन्यूमरेशन लागू करना

Windows Server 2003 (अभी समर्थित नहीं) में, ABE को सर्विस पैक 1 . से प्रारंभ करके समर्थित किया गया . विंडोज सर्वर 2003 एसपी1 (या बाद में) में एक्सेस-आधारित एन्यूमरेशन को सक्षम करने के लिए, आपको इस लिंक https://www.microsoft.com/en-us/download/details.aspx?id=17510 के बाद एक पैकेज डाउनलोड और इंस्टॉल करना होगा। . स्थापना के दौरान आपको यह निर्दिष्ट करना होगा कि आपके सर्वर पर सभी साझा फ़ोल्डरों के लिए ABE सक्षम किया जाएगा या आप इसे मैन्युअल रूप से कॉन्फ़िगर करेंगे। यदि आप दूसरा विकल्प चुनते हैं, तो एक नया टैब, एक्सेस-आधारित गणना, संस्थापन के बाद नेटवर्क साझा गुणों में दिखाई देगा।

एक निश्चित फ़ोल्डर के लिए एबीई को सक्रिय करने के लिए, विकल्प को चेक करें इस साझा फ़ोल्डर पर पहुंच-आधारित गणना सक्षम करें इसके गुणों में।

यह उल्लेख करना महत्वपूर्ण है कि विंडोज 2003 डीएफएस-आधारित एक्सेस आधारित गणना का समर्थन करता है, लेकिन इसे केवल कमांड प्रॉम्प्ट से cacls का उपयोग करके कॉन्फ़िगर किया जा सकता है। ।

कमांड प्रॉम्प्ट से ABE को प्रबंधित करना

आप Abecmd.exe सुविधा का उपयोग करके कमांड प्रॉम्प्ट से एक्सेस-आधारित एन्यूमरेशन सेटिंग्स को प्रबंधित कर सकते हैं। यह उपकरण Windows Server 2003 SP1 के लिए एक्सेस-आधारित एन्यूमरेशन पैकेज का एक भाग है (ऊपर लिंक देखें)।

Abecmd.exe ABE को सभी निर्देशिकाओं के लिए एक साथ या केवल उनमें से कुछ के लिए सक्रिय करने की अनुमति देता है। अगला आदेश सभी शेयरों के लिए एक्सेस-आधारित गणना को सक्षम करता है:

abecmd /enable /all

यह एक निश्चित फ़ोल्डर के लिए है (उदाहरण के लिए, डॉक्स नाम के साथ एक नेटवर्क साझा फ़ोल्डर):

abecmd /enable Docs

पावरशेल का उपयोग करके एक्सेस आधारित गणना को प्रबंधित करना

आप विशिष्ट फ़ोल्डरों के लिए एक्सेस आधारित एन्यूमरेशन की सेटिंग्स को प्रबंधित करने के लिए SMBSshare PowerShell मॉड्यूल (विंडोज 10/ 8.1 और विंडोज सर्वर 2016/2012 R2 में डिफ़ॉल्ट रूप से स्थापित) का उपयोग कर सकते हैं। आइए एक विशिष्ट साझा फ़ोल्डर के गुणों को सूचीबद्ध करें:

Get-SmbShare Install|fl *

FolderEnumerationMode के मान पर ध्यान दें गुण। हमारे मामले में, इसका मूल्य अप्रतिबंधित . है . इसका मतलब है कि इस फ़ोल्डर के लिए एबीई अक्षम है।

आप सर्वर के सभी साझा फ़ोल्डरों के लिए एबीई की स्थिति की जांच कर सकते हैं:

Get-SmbShare | Select-Object Name,FolderEnumerationMode

किसी विशिष्ट फ़ोल्डर के लिए ABE सक्षम करने के लिए:

Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased

आप सभी प्रकाशित नेटवर्क फ़ोल्डरों के लिए एक्सेस आधारित गणना को सक्षम कर सकते हैं (व्यवस्थापकीय शेयरों सहित ADMIN$, C$, E$ , IPC$,…) कमांड चलाकर:

Get-SmbShare | Set-SmbShare -FolderEnumerationMode AccessBased

ABE को अक्षम करने के लिए कमांड का उपयोग करें:

Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode Unrestricted

Windows 10 / 8.1 / 7 में एक्सेस-आधारित गणना

कई उपयोगकर्ता, विशेष रूप से घर या SOHO नेटवर्क में, एक्सेस-आधारित गणना सुविधाओं का भी उपयोग करना चाहेंगे। समस्या यह है कि माइक्रोसॉफ्ट क्लाइंट ओएस के पास एक्सेस-आधारित एन्यूमरेशन को प्रबंधित करने के लिए न तो ग्राफिकल और न ही कमांड इंटरफेस है।

विंडोज 10 (सर्वर 2016) और विंडोज 8.1 (सर्वर 2012R2) में, आप एक्सेस-आधारित एन्यूमरेशन को प्रबंधित करने के लिए पावरशेल का उपयोग कर सकते हैं (ऊपर अनुभाग देखें)। विंडोज़ के पुराने संस्करणों में, आपको पावरशेल का नवीनतम संस्करण (>=5.0) स्थापित करने या विंडोज सर्वर 2003 पैकेज से abecmd.exe उपयोगिता का उपयोग करने की आवश्यकता है, यह क्लाइंट ओएस पर ठीक काम करता है। चूंकि विंडोज सर्वर 2003 एक्सेस-आधारित एन्यूमरेशन पैकेज विंडोज 10, 8.1 या 7 पर स्थापित नहीं है, इसलिए आपको इसे पहले विंडोज सर्वर 2003 पर इंस्टॉल करना होगा, और फिर इसे C:\windows\system32 डायरेक्टरी से उसी फोल्डर में कॉपी करना होगा। ग्राहक। उसके बाद, आप ऊपर वर्णित आदेशों के अनुसार ABE को सक्षम कर सकते हैं।

इसके अलावा, आप GPO का उपयोग करके AD डोमेन में कंप्यूटर पर ABE को सक्षम कर सकते हैं। यह अनुभाग में GPP का उपयोग करके किया जा सकता है:कंप्यूटर कॉन्फ़िगरेशन -> प्राथमिकताएं -> Windows सेटिंग -> नेटवर्क शेयर )।

नेटवर्क फ़ोल्डर के गुणों में एक पहुंच-आधारित गणना है मजबूत> विकल्प, यदि आप मान को सक्षम करें . में बदलते हैं , इस GPO का उपयोग करके बनाए गए सभी साझा फ़ोल्डरों के लिए ABE मोड सक्षम किया जाएगा।