De forma predeterminada, cuando un usuario abre alguna carpeta de red compartida, SMB muestra una lista completa de archivos y carpetas en ella. Por supuesto, sucede solo si el usuario tiene permiso para acceder al recurso compartido. Enumeración basada en el acceso (ABE) permite ocultar los archivos y carpetas específicos para un usuario que no tiene permiso de acceso.

La enumeración basada en el acceso está disponible en la plataforma Windows desde Windows Server 2003 SP1 y ayuda a evitar que los usuarios vean archivos y carpetas.

Enumeración basada en acceso en Server 2016

De forma predeterminada, el proceso de acceso a la carpeta de red se realiza de la siguiente manera:

  1. El usuario se conecta al servidor y solicita acceso a la carpeta compartida;
  2. El servicio LanmanServer en el servidor (responsable de compartir archivos y carpetas) verifica si el usuario tiene permisos NTFS para leer/listar el contenido de la carpeta. Si el acceso está disponible, el servicio devuelve una lista de todos los archivos y carpetas que contiene;
  3. El siguiente usuario selecciona un archivo o carpeta e intenta abrirlo;
  4. El servidor comprueba si el usuario tiene los derechos de acceso necesarios. Si un usuario tiene los permisos necesarios, devuelve el elemento deseado. Si el usuario no tiene derechos, se devuelve el error de acceso denegado.

De acuerdo con este algoritmo, el servidor primero devuelve una lista de todos los contenidos de la carpeta al usuario. El servidor verifica los derechos de acceso a archivos y carpetas individuales solo cuando el usuario intenta acceder a ellos.

Luego, al usar ABE, al usuario se le mostrarán solo los recursos para los que tiene los derechos necesarios. Contenido de la lista para carpetas, o Leer para archivos individuales.

Algunas características de ABE:

  • ABE controla solo la lista de contenidos en una carpeta compartida. No oculta la lista de carpetas compartidas de los usuarios. Por lo tanto, cuando un usuario se conecta al servidor, verá todas las carpetas compartidas. Si necesita crear un recurso compartido oculto, simplemente puede agregar el carácter $ a su nombre, por ejemplo, CompartirNombre$;
  • ABE no funciona cuando el usuario inicia sesión localmente o cuando se conecta a través de RDP;
  • Los miembros del grupo de administradores locales siempre ven la lista completa del contenido de la carpeta.

ABE está habilitado para cada carpeta individualmente. Para configurar ABE, abra la consola del Administrador del servidor y seleccione el rol Servicios de archivos y almacenamiento.

Nota. Para habilitar la enumeración basada en el acceso, la función Servicios de archivo y almacenamiento debe estar instalada en el servidor.

servidor de enumeración basado en acceso 2016

Luego, ve a la Comparte y elija una carpeta de red de la lista para la cual habilitar el ABE. Haga clic con el botón derecho en él y seleccione su Propiedades.

servidor de enumeración basado en acceso 2019

Luego, en las propiedades del recurso compartido, cambie a la Ajustes pestaña. Ponga la casilla de verificación en Habilitar enumeración basada en acceso opción.

habilitar la enumeración basada en el acceso 2016

Además, puede habilitar la enumeración basada en el acceso en un recurso compartido de red mediante el cmdlet de PowerShell Establecer-SmbShare. Utilice un comando simple:

Set-SmbShare -Name "Share" -FolderEnumerationMode AccessBased

enumeración basada en el acceso 2016

Si administra la configuración de las carpetas públicas de forma centralizada a través de la directiva de grupo (Configuración del equipo > Preferencias > Configuración de Windows > Recursos compartidos de red), puede habilitar el ABE en las propiedades del recurso compartido.

enumeración basada en el acceso del servidor 2016

Por ejemplo, aquí hay un contenido de una carpeta de red con el ABE habilitado para el administrador del servidor:

ventanas de enumeración basadas en acceso 2016

Y así es como se ve para el usuario promedio:

enumeración basada en el acceso del servidor 2019

Así, la tecnología ABE hace la vida más fácil tanto a los Usuarios como a los Administradores. La información redundante en las carpetas de red no se muestra para el usuario. El administrador ya no tiene que responder preguntas sobre la falta de acceso.

Sin embargo, la Enumeración basada en el acceso tiene un serio inconveniente: una carga de servidor adicional. La carga depende de la cantidad de usuarios por servidor y la cantidad de objetos en los recursos compartidos. Durante una carga pesada, la velocidad de apertura de la carpeta puede disminuir significativamente.

Recomendado para ti