Access-based Enumeration
Die Nutzung
Nach der Einrichtung von ABE kann die Konfiguration auf der Ebene von Freigaben erfolgen. Bei Freigaben wird neben den bekannten Registern wie Freigabe und Sicherheit zusätzlich das Register Access-based Enumeration angezeigt. Die Konfiguration erfolgt nun in zwei Schriten:
-
Im ersten Schritt müssen die Berechtigungen für die Ordner innerhalb einer Freigabe im Register Sicherheit konfiguriert werden. Hier können Zugriffsberechtigungen gezielt eingeschränkt werden. So könnte beispielsweise der Zugriff nur für einen bestimmten Benutzer oder eine Projektgruppe freigegeben werden. Wenn Gruppen wie Benutzer Leserechte haben, wird sich ABE kaum auswirken, da dies für alle Benutzer gilt.
-
Anschließend kann im Register Access-based Enumeration die Technologie für die Freigabe aktiviert werden.
Das lässt sich testen, indem beispielsweise ein freigegebener Ordner Daten angelegt wird und darunter zwei Ordner Projekt1 und Projekt2 erstellt werden. Zusätzlich sind zwei Benutzergruppen mit jeweils mindestens einem Benutzer erforderlich. Eine Gruppe erhält Zugriffsberechtigungen im NTFS für das eine Verzeichnis, die andere Gruppe entsprechend für das andere. Wenn nun ein Benutzer vom Client aus auf den Server zugreift, wird er nur eine der beiden Freigaben sehen. ABE greift also bei der Aufzählung der Ordner innerhalb von Freigaben, wirkt sich aber nicht auf die Anzeige der Freigaben selbst aus.
ABE ist also sehr einfach zu konfigurieren. Zusätzlich gibt es auch noch ein Befehlszeilenwerkzeug, abecmd.exe, mit dem die gleichen Aktivitäten durchgeführt werden können. Die Syntax findet sich in Listing 1.
Listing 1: Die Syntax von abecmd.exe
abecmd [/enable | /disable] [/server <servername>] {/all | <sharename>}
/enable Aktiviert die Access-Based Enumeration für alle Freigaben oder die angegebene Freigabe.
/disable Deaktiviert die Access-Based Enumeration bei allen oder der angegebenen Freigabe.
/server <servername> Erlaubt die Angabe eines Servernamens, für den der Befehl ausgeführt werden soll.
/all Konfiguriert ABE für alle Freigaben. <sharename>Konfiguriert ABE nur für die angegebene Freigabe
Einschränkungen
ABE greift bei der Anzeige von Informationen aus Freigaben ein. Daraus können Probleme für Backup-Anwendungen und für die Performance resultieren. Außerdem sind im Zusammenspiel mit dem DFS (Distributed File System) einige Besonderheiten zu beachten, auf die weiter unten näher eingegangen wird.
Backup-Anwendungen können bei Verwendung von ABE unter Umständen nicht mehr auf alle Informationen zugreifen. Das Problem entsteht nicht, wenn die Anwendungen als Dienst ausgeführt werden und die Berechtigung Sichern von Dateien und Verzeichnissen verwenden. In anderen Fällen kann es erforderlich sein, spezielle Skripts unter Verwendung der API Net-ShareSetInfo zu entwickeln.
Dagegen halten sich die Auswirkungen von ABE auf die Performance erfreulicherweise in Grenzen. Microsoft nennt einen Mehrbedarf von maximal zwei bis drei Prozent der Prozessorleistung selbst in sehr großen Umgebungen. Bei Freigaben, in denen es insgesamt nicht mehr als 15.000 Dateien gibt, gibt es keine Performance-Unterschiede. Zudem kommen auch Situationen vor, in denen ABE die Zugriffsgeschwindigkeit erhöht, da mehr Informationen im Cache gehalten werden. Daher sind nur bei Fileservern mit sehr großen Datenmengen innerhalb einzelner Freigaben zusätzliche Analysen erforderlich, bevor ABE in den Produktionsbetrieb genommen wird. Einschränkungen gibt es auch bei Systemen, an denen mehrere Benutzer arbeiten. Da ABE eine reine Serverlösung ist, werden Informationen aus dem Cache lokal auch angezeigt, wenn sie dank ABE nicht sichtbar sind.