Enumeração baseada em acesso E direitos de pasta transversal

Question

Enumeração baseada em acesso E direitos de pasta transversal

#1 resposta do (3 votos)

3

Usando o Server 2012 em uma configuração de cluster como uma atualização para nosso servidor de arquivos principal (win2003), temos problemas ao usar os direitos de pasta transversal E a enumeração baseada em acesso (ABE)

O ABE funciona muito bem em nosso ambiente quando as permissões de grupo estão configuradas corretamente, mas eu preciso permitir o acesso a certas pastas no fundo da estrutura para usuários individuais que não estão nesses grupos usando permissões de pasta transversal para usuários autenticados em cada subpasta (cada usuário recebe permissões explícitas na pasta de destino e recebe um atalho para esse caminho em sua área de trabalho, etc.) Eu posso entrar em operação quando o ABE é desativado, uma vez que a ABE é ativada e o explorador no cliente (win7) falha ao enumerar a pasta ou os arquivos dentro.

este servidor é configurado da mesma forma que nosso servidor de arquivos anterior 2003 foi configurado e isso funciona com ABE e as permissões transversais estão bem, alguém pode lançar alguma luz sobre como fazer ABE e atravessar usando em 2012 ou sugerir quaisquer recursos ou ferramentas para olhar ou quaisquer diferenças que foram introduzidas desde 2003 em relação às permissões de ABE ou traversal?

ntfs windows-server-2012

por Gavin Shakespeare 29.05.2014 / 15:49

1 resposta

Tags ntfs windows-server-2012

Os dispositivos FC e SAS DAS são padrão o suficiente? Fazendo downgrade do PHP 5.4 para 5.3 no CentOS 6.5?

score 3 · Answer 1

A resposta é que o ABE quebra o Traverse. Com o ABE desativado, você pode conceder acesso direto a alguém em uma estrutura sem ter que conceder a ele direitos até o início, se o domínio padrão e a diretiva local no servidor integrante estiverem em vigor. ( link )

Mas, "Quando a Enumeração Baseada no Acesso (ABE) está habilitada em um compartilhamento, o shell (Explorer.exe) impõe a verificação transversal mesmo que o direito de usuário Ignorar a Verificação Completa esteja habilitado. O usuário ainda pode enumerar o conteúdo do diretório executando a linha de comando dir. " - do link

Como complicação adicional para esse assunto, o Windows 10 não parece respeitar isso. Pode navegar diretamente para um compartilhamento em um servidor Windows 2008 R2 que o mesmo usuário não pode procurar de um usuário do Windows 7. No entanto, poderia ter havido alguma diferença nas políticas aplicadas às duas máquinas que eu estava usando para teste, mas eu não acredito.