Содержание

Отключение общего доступа к папке или диску
Прекращение общего доступа к папке или диску
Предоставление общего доступа к файлам по сети в Windows 10
Скрываем папки недоступные пользователю с помощью Access-Based Enumeration (ABE) в Windows Server
Особенности доступа к общим сетевым папкам Windows
Ограничения Access Based Enumeration
Использование ABE в Windows Server 2008 / 2008 R2
Настройка Access Based Enumeration в Windows Server 2012 R2/ 2016
Настройка Access Based Enumeration в Windows Server 2003
Управление ABE из командной строки
Управление Access Based Enumeration с помощью PowerShell
Access-Based Enumeration в Windows 10 / 8.1 / 7

Отключение общего доступа к папке или диску

Прекратить общий доступ к папке или диску можно с помощью оснастки «Общие папки» консоли управления MMC или с помощью командной строки.

При прекращении общего доступа к папке подключенные к ней пользователи отключаются. В случае прекращения общего доступа к папке, содержащей открытый общий файл, без предупреждения данные пользователей могут быть потеряны. По возможности следует заранее уведомлять пользователей о прекращении общего доступа к папке.

Прекращение общего доступа к папке или диску

Важно!

Чтобы прекратить общий доступ к папке с использованием интерфейса Windows

Откройте «Управление компьютером».

Если появится диалоговое окно Управление учетными записями пользователей, убедитесь, что в окне указано нужное действие, и выберите ответ Да.

В дереве консоли щелкните Служебные, Общие папки, а затем — Ресурсы.

В области сведений щелкните правой кнопкой мыши общую папку и выберите команду Прекратить доступ.

Чтобы прекратить общий доступ к нескольким файлам одновременно, щелкните имена нужных файлов, удерживая нажатой клавишу CTRL, а затем щелкните правой кнопкой мыши один из выделенных файлов и выберите команду Прекратить доступ. Общий сетевой доступ к выбранным файлам будет прекращен.

Чтобы прекратить общий доступ к папке с использованием командной строки

Чтобы открыть окно командной строки с более высоким уровнем прав, нажмите кнопку Пуск, выберите Все программы, Стандартные, щелкните правой кнопкой мыши пункт Командная строка, а затем выберите пункт Выполнить от имени администратора.

Например, чтобы прекратить общий доступ к папке с именем myshare, введите команду:

Создание, удаление или отображение общих папок.

Сетевое имя общей папки.

Прекращение общего доступа к папке.

Значение	Описание

Чтобы просмотреть полный синтаксис этой команды, введите в командной строке: net help share

Предоставление общего доступа к файлам по сети в Windows 10

В Windows 10 изменились некоторые функции общего доступа к файлам и папкам по сети, в том числе удаление домашней группы. Узнайте ответы на часто задаваемые вопросы о других изменениях, связанных с доступом к файлам и папкам в Windows 10.

Для предоставления общего доступа к файлу или папке в проводнике выполните одно из следующих действий.

Щелкните правой кнопкой мыши или выберите файл и нажмите Предоставить доступ к > Отдельные люди.

Выделите файл, перейдите на вкладку Поделиться в верхней части проводника, а затем в разделе Поделиться выберите Отдельные люди.

Если выбрать одновременно несколько файлов, вы можете предоставить к ним общий доступ таким же образом. Эта функция работает и для папок: вы можете поделиться папкой, после чего общий доступ будет предоставлен ко всем файлам в ней.

Для прекращения общего доступа в проводнике выполните одно из следующих действий.

Щелкните правой кнопкой мыши или выделите файл или папку, а затем выберите Предоставить доступ к > Удалить доступ.

Выберите файл или папку, перейдите на вкладку Общий доступ в верхней части проводника, а затем в разделе Поделиться с выберите Удалить доступ.

В проводнике отображается параметр «Удалить доступ» («Прекратить общий доступ» в предыдущих версиях Windows 10) для всех файлов, даже для тех, к которым не предоставляется общий доступ по сети.

Откройте проводник и введите \\localhost в адресной строке.

Примечание: Если вы предоставили общий доступ к файлу из папки в профиле пользователя, то после перехода по адресу \\localhost вы увидите профиль пользователя и все связанные файлы. Это не означает, что ко всем вашим файлам предоставлен общий доступ. Просто у вас есть доступ ко всем собственным файлам.

Если вы открываете проводник, переходите в раздел Сеть и видите сообщение об ошибке («Сетевое обнаружение выключено. «), вам потребуется включить сетевое обнаружение, чтобы просмотреть устройства в сети, который предоставляют общий доступ к файлам. Чтобы включить эту функцию, выберите баннер Сетевое обнаружение выключено и нажмите Включить сетевое обнаружение и общий доступ к файлам.

Для устранения неполадок, связанных с предоставлением общего доступа к файлам и папкам, выполните следующие действия на всех компьютерах, на которых вы хотите настроить общий доступ.

Убедитесь, что компьютеры находятся в одной сети. Например, если компьютеры подключаются к Интернету с помощью беспроводного маршрутизатора, убедитесь, что они подключены через один и тот же беспроводной маршрутизатор.

Если вы подключены к сети Wi-Fi, измените ее тип на Частная. Чтобы узнать, как это сделать, ознакомьтесь с разделом Общедоступные и частные сети Wi-Fi в Windows 10.

Включите сетевое обнаружение и общий доступ к файлам и принтерам, а затем отключите общий доступ с защитой паролем.

Нажмите кнопку Пуск , выберите Параметры > Сеть и Интернет , а затем справа выберите Параметры общего доступа.

В разделе Частная выберите Включить сетевое обнаружение и Включить общий доступ к файлам и принтерам.

В разделе Все сети выберите Отключить общий доступ с парольной защитой.

Включите автоматический запуск служб общего доступа.

Нажмите клавишу Windows + R.

В диалоговом окне Выполнить введите services.msc и нажмите кнопку OK.

Щелкните правой кнопкой мыши каждую из следующих служб, выберите Свойства. Если они не работают, щелкните Запустить и рядом с полем Тип запуска выберите Автоматически:

Скрываем папки недоступные пользователю с помощью Access-Based Enumeration (ABE) в Windows Server

Технология Access-based Enumeration (ABE — Перечисление на основании доступа) позволяет на общих сетевых ресурсах (шарах) скрыть от пользователей файлы и папки, к которым у них отсутствует права доступа на чтение на уровне NTFS. Тем самым можно обеспечить дополнительную конфиденциальность данных, хранящихся в сетевом каталоге (за счет скрытия структуры и имен каталогов и файлов), улучшить юзабилити для пользователя, которому в процессе работы с сетевым каталогом не будет отображаться лишняя информация (тем более доступ к которой у него все равно отсутствует) и, самое главное, оградим системного администратора от постоянных вопросов пользователей «почему меня не пускает в эту папку!!». Попробуем детальнее разобраться в этой технологии и особенностях ее настройки и использования в различных версиях Windows.

Особенности доступа к общим сетевым папкам Windows

Одним из недостатков сетевых папок Windows является тот факт, что по-умолчанию все пользователи при просмотре содержимого общей папки могли, как минимум, видеть ее структуру и список содержащихся в ней файлов и каталогов, в том числе тех, доступ к которым на уровне NTFS у них отсутствует (при попытке открыть такой файл или папку пользователь получает ошибку доступа «Доступ запрещен / Access Denied»). Так почему бы не скрыть от пользователя те каталоги и файлы, к которым у него все равно нет доступа? Помочь в этой задаче должна технология Access Based Enumeration (ABE). Включив ABE на общей сетевой папке можно добиться того, чтобы разные пользователи видели различный список каталогов и файлов в одной и той же сетевой шаре, основанный индивидуальных правах доступа пользователя к этим папкам (ACL).

Каким образом происходит взаимодействие между клиентом и сервером при обращении к общей папке:

Клиент обращается к серверу с запросом на доступ к интересующему его каталогу в общей сетевой папке;
Служба LanmanServer на сервере проверяет, есть ли у пользователя права доступа к данному каталогу на уровне разрешений файловой системе NTFS;
Если доступ разрешен (просмотр содержимого/чтение/запись), пользователь видит список содержимого каталога;
Затем пользователь по такой же схеме может открыть конкретный файл или вложенный каталог (вы можете посмотреть, кто открыл конкретный файл в сетевой папке так). Если доступа к папке нет, пользователь получает соответствующее уведомление.

Из этой схемы ясно, что сервер сначала показывает пользователю все содержимое папки, а проверку прав доступа на конкретный объект осуществляет только после попытки доступа к его содержимому.

Функционал Access Based Enumeration (ABE) позволяет реализовать проверку прав доступа на объекты файловой системы до того, как пользователю отправляется список содержимого папки. Следовательно, в конечный список будут попадать только те объекты, к которым у пользователя есть хотя бы права Read на уровне NTFS, а все недоступные ресурсы просто не отображаются (скрываются).

Т.е. пользователь одного отдела (например, склада) в одном и том же сетевом каталоге (\\filesrv1\docs) будет видеть один список папок и файлов. Как вы видите, у пользователя отображаются только две папки: Public и Sklad.

У пользователей другого департамента, например, ИТ (которые включены в другую группу безопасности Windows), отображается другой список вложенных каталогов. Помимо каталогов Public и Sklad у данных пользователей в сетевой папке видны еще 6 директорий.

Основной недостаток использования ABE на файловых серверах – дополнительная нагрузка на сервер. Особенно это можно почувствовать на высоконагруженных файловых серверах. Чем больше количество объектов в просматриваемом каталоге, и чем больше количество пользователей открывают файлы на нем, тем больше задержка. По заявлению Microsoft в случае наличия в отображаемом каталоге 15000 объектов (файлов и каталогов), скорость открытия папки замедляется на 1-3 секунды. Именно поэтому, при проектировании структуры общих папок, рекомендуется уделить большое внимание созданию четкой и иерархической структуры подпапок, в этом случае замедление скорости открытия каталогов будет незаметным.

Управлять ABE можно из командной строки (утилита abecmd.exe), из графического интерфейса, PowerShell или через специальный API.

Ограничения Access Based Enumeration

Access-based Enumeration в Windows не работает в случаях:

Если в качестве файл-сервера используется Windows XP или Windows Server 2003 без Service Pack;
При локальном просмотре каталогов (непосредственно с сервера). Например, пользователь, подключившись к RDS серверу будет видеть все локальные папки, если данный сервер используется и в качестве файлового сервера);
Для членов локальной группы администраторов файлового сервера (они всегда видят полный список файлов).

Использование ABE в Windows Server 2008 / 2008 R2

В Windows Server 2008/R2 для использования функционала Access Based Enumeration никаких дополнительных компонентов устанавливать не нужно, т.к. возможность управления функционалом ABE уже встроена в графический интерфейс Windows. Чтобы включить Access-based Enumeration для конкретной папки в Windows Server 2008/2008 R2, откройте mmc консоль управления Share and Storage Management (Start –> Programs –> Administrative Tools ->Share and Storage Management). Перейдите в окно свойств нужной шары. Затем перейдите в окно расширенных настроек (кнопка Advanced) и включите опцию Enable access-based enumeration.

Настройка Access Based Enumeration в Windows Server 2012 R2/ 2016

Настройка ABE в Windows Server 2012 R2 / 2016 также выполняется просто. Чтобы включить Access Based Enumeration необходимо сначала, естественно, установить роль файлового сервера (File And Storage Services), а затем в консоли Server Manager перейти в свойства общей папки.

И в разделе Settings включить опцию Enable access-based enumeration.

Настройка Access Based Enumeration в Windows Server 2003

В Windows Server 2003 (снята с поддержки) технология ABE стала поддерживаться начиная с Service Pack1. Чтобы включить Access-based Enumeration в Windows Server 2003 SP1 (и выше), нужно скачать и установить пакет _http://www.microsoft.com/en-us/download/details.aspx?id=17510. В процессе установки необходимо указать, нужно ли автоматически включить ABE для всех общих папок на сервере, либо настройка будет проводиться в индивидуальном порядке. Если выбран второй пункт, то после окончания установки пакета, в свойствах общих папок появится новая вкладка Access-based Enumeration.

Чтобы активировать ABE для конкретной папки, включите в ее свойствах опцию Enable access-based enumeration on this shared folder.

Также отметим, что в Windows 2003 поддерживается использование Access Based Enumeration на основе DFS, однако настроить его можно только из командной строки с помощью утилиты cacls.

Управление ABE из командной строки

Настройками Access-based Enumeration можно управлять из командной строки при помощи утилиты Abecmd.exe. Данная утилита входит в пакет Access-based Enumeration для Windows Server 2003 SP1 (ссылка выше).

Утилита Abecmd.exe позволяет активировать ABE сразу для всех каталогов или же персонально. Следующая команда включит Access-Based Enumeration сразу для всех шар:

abecmd /enable /all

Или для конкретной папки (например, шары с именем Docs):

abecmd /enable Docs

Управление Access Based Enumeration с помощью PowerShell

Для управления настройками Access Based Enumeration для конкретных папок можно использовать PowerShell модуль SMBShare (установлен по-умолчанию в Windows 10/8.1 и Windows Server 2016/ 2012 R2). Выведем свойства конкретной сетевой папки:

Обратите внимание на значение атрибута FolderEnumerationMode. В нашем случае его значение – Unrestricted. Это означает, что ABE отключен для этой папки.

Можно проверить статус ABE для всех сетевых папок сервера:

Get-SmbShare | Select-Object Name,FolderEnumerationMode

Чтобы включить ABE для папки, выполните:

Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased

Вы можете включить Access Based Enumeration для всех опубликованных сетевых папок (в том числе административных шар ADMIN$, C$, E$, IPC$), выполните:

Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased

Чтобы отключить ABE, выполните:

Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode Unrestricted

Access-Based Enumeration в Windows 10 / 8.1 / 7

Многим пользователем, особенно в домашних сетях, также хотелось бы иметь возможность воспользоваться функционалом Access-Based Enumeration. Проблема заключается в том, что в клиентских ОС Microsoft отсутствует как графический, так и командный интерфейс управления «Перечислением на основе доступа».

В Windows 10 (Server 2016) и Windows 8.1 (Server 2012R2) для управления Access-based Enumeration можно использовать PowerShell (см. раздел выше). В более старых версиях Windows, вам необходимо установить последнюю версию PowerShell (>= 5.0) или использовать утилиту abecmd.exe из пакета для Windows Server 2003, прекрасно работает и на клиентских ОС. Т.к. пакет Windows Server 2003 Access-based Enumeration на Windows 10 / 8.1 / 7 не устанавливается, придется сначала установить его на Windows Server 2003, а затем скопировать его из каталога C:\windows\system32 в такой же каталог на клиенте. После этого включить ABE можно по сценарию с командной строкой, описанному выше.

Кроме того, вы можете включать ABE на компьютерах домена AD с помощью групповых политик. Для этого используется GPP в секции: Computer Configuration -> Preferences -> Windows Settings -> Network Shares).

Как вы видите, в свойствах сетевой папки есть опция Access-Based Enumeration, если изменить значение на Enable, для всех общих папок, созданных с помощью данной GPO будет включен режим ABE.