Access-based Enumeration

Es gibt immer wieder Technologien von Microsoft, die eigentlich sehr interessant sind, von denen aber doch kaum jemand weiß. Das gilt beispielsweise für den Role Based Access Control (RBAC) und damit auch den Authorization Manager (azman), es gilt aber auch für die Access Based Enumeration (ABE), die ab dem Windows Server 2003 mit Service Pack 1 unterstützt wird. Die ABE muss gesondert von www.microsoft.com/downloads geladen werden. Die Technologie wird in Form einer einzigen .msi-Datei geliefert, die direkt auf Servern installiert werden kann.

Was macht ABE?

Vor allem auf Fileservern gibt es typischerweise sehr viele Freigaben. Die Daten darin sind allerdings jeweils nur für bestimmte Benutzergruppen freigegeben. Wenn nun alle Benutzer alle Ordner in Freigaben sehen können, führt das zu Irritationen. Außerdem ist das oft unpraktisch, weil bei vielen Ordnern innerhalb von Freigaben entsprechend lange Listen angezeigt werden, in denen die Benutzer nach den für sie relevanten Ordnern suchen müssen. Typische Anwendungsfelder sind Home Directories von Benutzern und Projektverzeichnisse.

ABE sorgt nun dafür, dass ein Benutzer nur die Ordner innerhalb einer Freigabe sieht, für die er auch Zugriffsberechtigungen hat. Dabei werden die Berechtigungen auf der Ebene des NTFS herangezogen. Die Berechtigungen auf der Ebene der Freigabe spielen für die Anzeige keine Rolle.

Die Installation

Die Installation erfolgt durch den Start der .msi-Datei. Nach einer kurzen Erklärung zu ABE selbst und der Zustimmung zum Lizenzabkommen muss der Installationsordner festgelegt werden. Anschließend muss konfiguriert werden, ob ABE automatisch bei allen freigegebenen Ordnern aktiviert oder ob die Aktivierung manuell bei individuellen Ordnern durchgeführt werden soll. Sie können die Aktivierung später auch wieder für einzelne Ordner rückgängig machen. Damit sind alle Informationen für die Installation vorhanden.