Access-based Enumeration (ABE) allows to hide objects (files and folders) from users who don’t have NTFS permissions (Read or List) on a network shared folder in order to access them. Thus you can provide additional confidentiality of data stored in a shared folder (due to hiding the structure and names of folders and files), improve its usability since users won’t see odd data (they don’t have access to) and, what’s more important, save a system administrator from constant questions of users “Why I cannot access this folder!!!”. Let’s try to consider this technology, configuration peculiarities and use of ABE in various Windows versions in details.
Contents:
- How does access to shared folders work in Windows?
- Access-Based Enumeration Restrictions
- Using ABE on Windows Server 2008/ 2008 R2
- Configuring Access-based Enumeration on Windows Server 2012 R2/ 2016
- Implementing Access-Based Enumeration on Windows Server 2003
- Managing ABE from the Command Prompt
- Managing Access Based Enumeration Using PowerShell
- Access-Based Enumeration in Windows 10 / 8.1 / 7
How does access to shared folders work in Windows?
One of the drawbacks of network shared folders technology in Windows is the fact that by default all users could at least see its structure and the list of all files and directories in such a folder including those that they don’t have NTFS permissions to access (when trying to open such file or folder, a user receives the error “Access Denied”). Why not to hide those files and folders from the users who don’t have permissions to access them? Access-based Enumeration can help doing it. By enabling ABE on a shared folder, you can ensure that different users see a different list of folders and files in the same network share based on the user’s individual access permissions (ACL).
How does the interaction between the client and the server occurs when accessing a shared folder over the SMB?
- A client requests the server to access a directory in the network shared folder;
- The LanmanServer service on the server checks the user permissions to access this folder;
- If access is allowed (NTFS permissions: list content, read or write), the user sees the directory contents;
- Then the user requests access to a file or a subfolder in the same way (you can view who opened a specific file in a network folder like this);
- If the access is denied, the user is notified accordingly.
According to this scheme, it becomes clear that the server firstly shows the entire contents of the folder to the user, and the NTFS permissions are checked only when the user tries to open a specific file or folder.
Access-based Enumeration (ABE) allows to check access permissions on file system objects before the user receives a list of the folder contents. So, the final list includes only those objects a user has NTFS permissions to access (at least read-only permission), and all inaccessible resources are simply not displayed (hidden).
It means that a user from one department (e.g. warehouse) will see one list of files and folders in a shared folder (\filesrv1docs). As you can see, only two folders are displayed for the user: Public and Warehouse.
And for a user from another department, e. g., IT department (which is included in another Windows security group), a different list of subfolders is shown. In addition to the Public and Warehouse directories, this user sees 5 more directories in the same network folder.
The main disadvantage of using ABE on the Windows file servers is the extra load on the server. It is especially prominent in high load file servers. The more objects there are in the viewed directory, and the more users open files on it, the longer the delay is. According to Microsoft, if there are 15,000 objects (files and directories) in the displayed folder, a folder is opening 1-3 seconds slower. That’s is why it is recommended to pay much attention to making a clear and hierarchical subfolder structure when designing a shared folder structure in order to make a delay when opening folders less evident.
Note. You should understand that Access-based Enumeration doesn’t hide the list of the network shared folders on a file server, it hides only their contents. If you need to hide a shared folder from a user, you have to add a $ symbol at the end of the share name.
You can manage ABE from the command prompt (abecmd.exe utility), from the GUI, PowerShell or a special API.
Access-Based Enumeration Restrictions
Access-based Enumeration on Windows doesn’t work in the following cases:
- If you are using Windows XP or Windows Server 2003 without Service Pack 1 as a file server;
- If you are viewing directories locally (directly from the server);
- For members of the local file server administrators group (they always see the full list of files).
Using ABE on Windows Server 2008/ 2008 R2
In Windows Server 2008/R2 to use the Access Based Enumeration functionality no additional components need to be installed, since the ABE management feature is already built into the Windows GUI. To enable Access-based Enumeration for a certain folder in Windows Server 2008/2008 R2, open the MMC management console Share and Storage Management (Start –> Programs –> Administrative Tools -> Share and Storage Management). Go to the properties of the necessary share. Then go to the Advanced settings and check Enable access-based enumeration.
Configuring Access-based Enumeration on Windows Server 2012 R2/ 2016
ABE configuration in the Windows Server 2012 R2 / 2016 is also very simple. To enable ABE in Windows Server 2012, you firstly have to install File and Storage Services role, and then go to the share properties in the Server Manager.
In Settings section check the option Enable access-based enumeration.
Implementing Access-Based Enumeration on Windows Server 2003
In Windows Server 2003 (not supported now), ABE became supported starting from Service Pack 1. To enable Access-based Enumeration in Windows Server 2003 SP1 (or later), you have to download and install a package following this link http://www.microsoft.com/en-us/download/details.aspx?id=17510. During installation you have to specify whether ABE will be enabled for all shared folders on your server or you’ll configure it manually. If you choose the second option, a new tab, Access-based Enumeration, will appear in the network share properties after the installation.
To activate ABE for a certain folder, check the option Enable access-based enumeration on this shared folder in its properties.
It’s important to mention that Windows 2003 supports DFS-based Access Based Enumeration, but it can be configured only from the command prompt using cacls.
Managing ABE from the Command Prompt
You can manage Access-based Enumeration settings from the command prompt using Abecmd.exe utility. This tool is a part of Access-based Enumeration package for Windows Server 2003 SP1 (see the link above).
Abecmd.exe allows to activate ABE for all directories at once or only for some of them. The next command enables Access-Based Enumeration for all shares:
abecmd /enable /all
This one is for a certain folder (e.g., a network shared folder with the name Docs):
abecmd /enable Docs
Managing Access Based Enumeration Using PowerShell
You can use the SMBShare PowerShell module (installed by default in Windows 10/ 8.1 and Windows Server 2016/2012 R2) to manage the settings of Access Based Enumeration for specific folders. Let’s list the properties of a specific shared folder:
Get-SmbShare Install|fl *
Note the value of the FolderEnumerationMode attribute. In our case, its value is Unrestricted. This means that ABE is disabled for this folder.
You can check the status of ABE for all shared folders of the server:
Get-SmbShare | Select-Object Name,FolderEnumerationMode
To enable ABE for a specific folder:
Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased
You can enable Access Based Enumeration for all published network folders (including administrative shares ADMIN$, C$, E$, IPC$,…) by running the command:
Get-SmbShare | Set-SmbShare -FolderEnumerationMode AccessBased
To disable ABE use the command:
Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode Unrestricted
Access-Based Enumeration in Windows 10 / 8.1 / 7
Many users, especially in home or SOHO networks, also would like to use Access-Based Enumeration features. The problem is that Microsoft client OSs have neither graphical, nor command interface to manage Access-Based Enumeration.
In Windows 10 (Server 2016) and Windows 8.1 (Server 2012R2), you can use PowerShell to manage Access-based Enumeration (see the section above). In older versions of Windows, you need to install the latest version of PowerShell (>= 5.0) or use the abecmd.exe utility from the Windows Server 2003 package, it works fine on client OSs. Since the Windows Server 2003 Access-based Enumeration package is not installed on Windows 10, 8.1 or 7, you have to install it first on Windows Server 2003, and then copy it from the C:windowssystem32 directory to the same folder on the client. After that, you can enable ABE according with the commands described above.
Note. In corporate environment, ABE combines perfectly with DFS folders by hiding folders from the user and providing a more convenient structure of the public folders tree. You can enable ABE in DFS using DFS Management or dfsutil.exe:
dfsutil property abde enable \namespace_root
In addition, you can enable ABE on computers in the AD domain using GPO. This can be done using GPP in the section: Computer Configuration -> Preferences -> Windows Settings -> Network Shares).
In the properties of the network folder there is an Access-Based Enumeration option, if you change the value to Enable, ABE mode will be enabled for all shared folders created using this GPO.
| title | description | ms.date | ms.topic | author | manager | ms.author |
|---|---|---|---|---|---|---|
|
Enable Access-based Enumeration on a Namespace |
This article describes how to enable access-based enumeration on a namespace. |
6/5/2017 |
article |
JasonGerend |
brianlic |
jgerend |
Enable access-based enumeration on a namespace
Applies to: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008
Access-based enumeration hides files and folders that users do not have permissions to access. By default, this feature is not enabled for DFS namespaces. You can enable access-based enumeration of DFS folders by using DFS Management. To control access-based enumeration of files and folders in folder targets, you must enable access-based enumeration on each shared folder by using Share and Storage Management.
To enable access-based enumeration on a namespace, all namespace servers must be running Windows Server 2008 or newer. Additionally, domain-based namespaces must use the Windows Server 2008 mode. For information about the requirements of the Windows Server 2008 mode, see Choose a Namespace Type.
In some environments, enabling access-based enumeration can cause high CPU utilization on the server and slow response times for users.
[!NOTE]
If you upgrade the domain functional level to Windows Server 2008 while there are existing domain-based namespaces, DFS Management will allow you to enable access-based enumeration on these namespaces. However, you will not be able to edit permissions to hide folders from any groups or users unless you migrate the namespaces to the Windows Server 2008 mode. For more information, see Migrate a Domain-based Namespace to Windows Server 2008 Mode.
To use access-based enumeration with DFS Namespaces, you must follow these steps:
- Enable access-based enumeration on a namespace
- Control which users and groups can view individual DFS folders
[!WARNING]
Access-based enumeration does not prevent users from getting a referral to a folder target if they already know the DFS path. Only the share permissions or the NTFS file system permissions of the folder target (shared folder) itself can prevent users from accessing a folder target. DFS folder permissions are used only for displaying or hiding DFS folders, not for controlling access, making Read access the only relevant permission at the DFS folder level. For more information, see Using Inherited Permissions with Access-Based Enumeration
You can enable access-based enumeration on a namespace either by using the Windows interface or by using a command line.
To enable access-based enumeration by using the Windows interface
-
In the console tree, under the Namespaces node, right-click the appropriate namespace and then click Properties .
-
Click the Advanced tab and then select the Enable access-based enumeration for this namespace check box.
To enable access-based enumeration by using a command line
-
Open a command prompt window on a server that has the Distributed File System role service or Distributed File System Tools feature installed.
-
Type the following command, where <namespace_root> is the root of the namespace:
dfsutil property abe enable \ <namespace_root>
[!TIP]
To manage access-based enumeration on a namespace by using Windows PowerShell, use the Set-DfsnRoot, Grant-DfsnAccess, and Revoke-DfsnAccess cmdlets. The DFSN Windows PowerShell module was introduced in Windows Server 2012.
You can control which users and groups can view individual DFS folders either by using the Windows interface or by using a command line.
To control folder visibility by using the Windows interface
-
In the console tree, under the Namespaces node, locate the folder with targets for which you want to control visibility, right-click it and then click Properties.
-
Click the Advanced tab.
-
Click Set explicit view permissions on the DFS folder and then Configure view permissions.
-
Add or remove groups or users by clicking Add or Remove.
-
To allow users to see the DFS folder, select the group or user, and then select the Allow check box.
To hide the folder from a group or user, select the group or user, and then select the Deny check box.
To control folder visibility by using a command line
-
Open a Command Prompt window on a server that has the Distributed File System role service or Distributed File System Tools feature installed.
-
Type the following command, where <DFSPath> is the path of the DFS folder (link), <DOMAINAccount> is the name of the group or user account, and (…) is replaced with additional Access Control Entries (ACEs):
dfsutil property sd grant <DFSPath> DOMAINAccount:R (...) Protect ReplaceFor example, to replace existing permissions with permissions that allows the Domain Admins and CONTOSOTrainers groups Read (R) access to the contoso.officepublictraining folder, type the following command:
dfsutil property sd grant \contoso.officepublictraining "CONTOSODomain Admins":R CONTOSOTrainers:R Protect Replace -
To perform additional tasks from the command prompt, use the following commands:
| Command | Description |
|---|---|
| Dfsutil property sd deny | Denies a group or user the ability to view the folder. |
| Dfsutil property sd reset | Removes all permissions from the folder. |
| Dfsutil property sd revoke | Removes a group or user ACE from the folder. |
Additional References
- Create a DFS Namespace
- Delegate Management Permissions for DFS Namespaces
- Installing DFS
- Using Inherited Permissions with Access-Based Enumeration
Технология Access-based Enumeration (ABE — Перечисление на основании доступа) позволяет на общих сетевых ресурсах (шарах) скрыть от пользователей файлы и папки, к которым у них отсутствует права доступа на чтение на уровне NTFS. Тем самым можно обеспечить дополнительную конфиденциальность данных, хранящихся в сетевом каталоге (за счет скрытия структуры и имен каталогов и файлов), улучшить юзабилити для пользователя, которому в процессе работы с сетевым каталогом не будет отображаться лишняя информация (тем более доступ к которой у него все равно отсутствует) и, самое главное, оградим системного администратора от постоянных вопросов пользователей «почему меня не пускает в эту папку!!». Попробуем детальнее разобраться в этой технологии и особенностях ее настройки и использования в различных версиях Windows.
Содержание:
- Особенности доступа к общим сетевым папкам Windows
- Ограничения Access Based Enumeration
- Использование ABE в Windows Server 2008 / 2008 R2
- Настройка Access Based Enumeration в Windows Server 2012 R2/ 2016
- Настройка Access Based Enumeration в Windows Server 2003
- Управление ABE из командной строки
- Управление Access Based Enumeration с помощью PowerShell
- Access-Based Enumeration в Windows 10 / 8.1 / 7
Особенности доступа к общим сетевым папкам Windows
Одним из недостатков сетевых папок Windows является тот факт, что по-умолчанию все пользователи при просмотре содержимого общей папки могли, как минимум, видеть ее структуру и список содержащихся в ней файлов и каталогов, в том числе тех, доступ к которым на уровне NTFS у них отсутствует (при попытке открыть такой файл или папку пользователь получает ошибку доступа «Доступ запрещен / Access Denied»). Так почему бы не скрыть от пользователя те каталоги и файлы, к которым у него все равно нет доступа? Помочь в этой задаче должна технология Access Based Enumeration (ABE). Включив ABE на общей сетевой папке можно добиться того, чтобы разные пользователи видели различный список каталогов и файлов в одной и той же сетевой шаре, основанный индивидуальных правах доступа пользователя к этим папкам (ACL).
Каким образом происходит взаимодействие между клиентом и сервером при обращении к общей папке:
- Клиент обращается к серверу с запросом на доступ к интересующему его каталогу в общей сетевой папке;
- Служба LanmanServer на сервере проверяет, есть ли у пользователя права доступа к данному каталогу на уровне разрешений файловой системе NTFS;
- Если доступ разрешен (просмотр содержимого/чтение/запись), пользователь видит список содержимого каталога;
- Затем пользователь по такой же схеме может открыть конкретный файл или вложенный каталог (вы можете посмотреть, кто открыл конкретный файл в сетевой папке так). Если доступа к папке нет, пользователь получает соответствующее уведомление.
Из этой схемы ясно, что сервер сначала показывает пользователю все содержимое папки, а проверку прав доступа на конкретный объект осуществляет только после попытки доступа к его содержимому.
Функционал Access Based Enumeration (ABE) позволяет реализовать проверку прав доступа на объекты файловой системы до того, как пользователю отправляется список содержимого папки. Следовательно, в конечный список будут попадать только те объекты, к которым у пользователя есть хотя бы права Read на уровне NTFS, а все недоступные ресурсы просто не отображаются (скрываются).
Т.е. пользователь одного отдела (например, склада) в одном и том же сетевом каталоге (\filesrv1docs) будет видеть один список папок и файлов. Как вы видите, у пользователя отображаются только две папки: Public и Sklad.
У пользователей другого департамента, например, ИТ (которые включены в другую группу безопасности Windows), отображается другой список вложенных каталогов. Помимо каталогов Public и Sklad у данных пользователей в сетевой папке видны еще 6 директорий. 
Основной недостаток использования ABE на файловых серверах – дополнительная нагрузка на сервер. Особенно это можно почувствовать на высоконагруженных файловых серверах. Чем больше количество объектов в просматриваемом каталоге, и чем больше количество пользователей открывают файлы на нем, тем больше задержка. По заявлению Microsoft в случае наличия в отображаемом каталоге 15000 объектов (файлов и каталогов), скорость открытия папки замедляется на 1-3 секунды. Именно поэтому, при проектировании структуры общих папок, рекомендуется уделить большое внимание созданию четкой и иерархической структуры подпапок, в этом случае замедление скорости открытия каталогов будет незаметным.
Примечание. Стоит понимать, что Access Based Enumeration не скрывает от пользователя сам список общих сетевых ресурсов (шар) на файловом сервере, а действует только по отношению к их содержимому. Если нужно скрыть от пользователя именно сетевую папку, необходимо в конец названия общей папки добавить символ $.
Управлять ABE можно из командной строки (утилита abecmd.exe), из графического интерфейса, PowerShell или через специальный API.
Ограничения Access Based Enumeration
Access-based Enumeration в Windows не работает в случаях:
- Если в качестве файл-сервера используется Windows XP или Windows Server 2003 без Service Pack;
- При локальном просмотре каталогов (непосредственно с сервера). Например, пользователь, подключившись к RDS серверу будет видеть все локальные папки, если данный сервер используется и в качестве файлового сервера);
- Для членов локальной группы администраторов файлового сервера (они всегда видят полный список файлов).
Использование ABE в Windows Server 2008 / 2008 R2
В Windows Server 2008/R2 для использования функционала Access Based Enumeration никаких дополнительных компонентов устанавливать не нужно, т.к. возможность управления функционалом ABE уже встроена в графический интерфейс Windows. Чтобы включить Access-based Enumeration для конкретной папки в Windows Server 2008/2008 R2, откройте mmc консоль управления Share and Storage Management (Start –> Programs –> Administrative Tools ->Share and Storage Management). Перейдите в окно свойств нужной шары. Затем перейдите в окно расширенных настроек (кнопка Advanced) и включите опцию Enable access-based enumeration.
Настройка Access Based Enumeration в Windows Server 2012 R2/ 2016
Настройка ABE в Windows Server 2012 R2 / 2016 также выполняется просто. Чтобы включить Access Based Enumeration необходимо сначала, естественно, установить роль файлового сервера (File And Storage Services), а затем в консоли Server Manager перейти в свойства общей папки. 
И в разделе Settings включить опцию Enable access-based enumeration.
Настройка Access Based Enumeration в Windows Server 2003
В Windows Server 2003 (снята с поддержки) технология ABE стала поддерживаться начиная с Service Pack1. Чтобы включить Access-based Enumeration в Windows Server 2003 SP1 (и выше), нужно скачать и установить пакет _http://www.microsoft.com/en-us/download/details.aspx?id=17510. В процессе установки необходимо указать, нужно ли автоматически включить ABE для всех общих папок на сервере, либо настройка будет проводиться в индивидуальном порядке. Если выбран второй пункт, то после окончания установки пакета, в свойствах общих папок появится новая вкладка Access-based Enumeration.
Чтобы активировать ABE для конкретной папки, включите в ее свойствах опцию Enable access-based enumeration on this shared folder.
Также отметим, что в Windows 2003 поддерживается использование Access Based Enumeration на основе DFS, однако настроить его можно только из командной строки с помощью утилиты cacls.
Управление ABE из командной строки
Настройками Access-based Enumeration можно управлять из командной строки при помощи утилиты Abecmd.exe. Данная утилита входит в пакет Access-based Enumeration для Windows Server 2003 SP1 (ссылка выше).
Утилита Abecmd.exe позволяет активировать ABE сразу для всех каталогов или же персонально. Следующая команда включит Access-Based Enumeration сразу для всех шар:
abecmd /enable /all
Или для конкретной папки (например, шары с именем Docs):
abecmd /enable Docs
Управление Access Based Enumeration с помощью PowerShell
Для управления настройками Access Based Enumeration для конкретных папок можно использовать PowerShell модуль SMBShare (установлен по-умолчанию в Windows 10/8.1 и Windows Server 2016/ 2012 R2). Выведем свойства конкретной сетевой папки:
Get-SmbShare Install|fl *
Обратите внимание на значение атрибута FolderEnumerationMode. В нашем случае его значение – Unrestricted. Это означает, что ABE отключен для этой папки.
Можно проверить статус ABE для всех сетевых папок сервера:
Get-SmbShare | Select-Object Name,FolderEnumerationMode
Чтобы включить ABE для папки, выполните:
Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased
Вы можете включить Access Based Enumeration для всех опубликованных сетевых папок (в том числе административных шар ADMIN$, C$, E$, IPC$), выполните:
Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased
Чтобы отключить ABE, выполните:
Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode Unrestricted
Access-Based Enumeration в Windows 10 / 8.1 / 7
Многим пользователем, особенно в домашних сетях, также хотелось бы иметь возможность воспользоваться функционалом Access-Based Enumeration. Проблема заключается в том, что в клиентских ОС Microsoft отсутствует как графический, так и командный интерфейс управления «Перечислением на основе доступа».
В Windows 10 (Server 2016) и Windows 8.1 (Server 2012R2) для управления Access-based Enumeration можно использовать PowerShell (см. раздел выше). В более старых версиях Windows, вам необходимо установить последнюю версию PowerShell (>= 5.0) или использовать утилиту abecmd.exe из пакета для Windows Server 2003, прекрасно работает и на клиентских ОС. Т.к. пакет Windows Server 2003 Access-based Enumeration на Windows 10 / 8.1 / 7 не устанавливается, придется сначала установить его на Windows Server 2003, а затем скопировать его из каталога C:windowssystem32 в такой же каталог на клиенте. После этого включить ABE можно по сценарию с командной строкой, описанному выше.
Примечание. В корпоративной среде ABE замечательно сочетается с папками DFS, скрывая от пользователя «ненужные» папки и предоставляя более удобную структуру дерева общих папок. Включить ABE на пространстве имен DFS можно с помощью консоли DFS Management или утилиты dfsutil.exe:
dfsutil property abde enable \<namespace root>
Кроме того, вы можете включать ABE на компьютерах домена AD с помощью групповых политик. Для этого используется GPP в секции: Computer Configuration -> Preferences -> Windows Settings -> Network Shares).
Как вы видите, в свойствах сетевой папки есть опция Access-Based Enumeration, если изменить значение на Enable, для всех общих папок, созданных с помощью данной GPO будет включен режим ABE.
Microsoft through its Insider program gives us the opportunity to know what will come in the next edition of Windows Server and it is its version 2022 ( Windows Server 2022 ) which changes its appearance but maintains the essence of the system in terms of roles, services and performance is concerned..
Windows Server is tasked with being a central point for administrators to offer client computers and users better management options, and one of these roles is the ability for Windows Server 2022 to act as a file server.
When we talk about a file server we mean that the server is able to offer a central location in the local network to store files and share them with domain users, facilitating this type of task, this logically can go with certain permissions in based on the criteria and level of privacy of the information..
In Windows Server we can manage
By acting in this mode, Windows Server 2022 allows us to manage:
- Work folders: these allow users to store and have access to work files, being these managed by the server administrator
- ISCSI Target Server — Allows you to create hardware independent iSCSI disk subsystems which are based on storage area network (SAN) software
- Data deduplication: is a feature that reduces the hard disk space requirements of files by optimizing overall storage space
- Storage spaces: it is a function that allows to have high availability storage
- Windows PowerShell: known to all, this gives us the opportunity to automate the management of file server administration tasks
- Storage Spaces Direct — Creates a new level of scalable and available storage through local storage servers
- Storage Quality of Service — centrally monitors storage performance on the system
- Storage Replica — Synchronously replicate storage across servers and clusters for data availability
TechnoWikis will explain how to install and configure a file server in Windows Server 2022.
To stay up to date, remember to subscribe to our YouTube channel! SUBSCRIBE
How to install and configure a file server in Windows Server 2022
Step 1
We go to the folder that will act as a repository, we right click on it and select «Properties»:
Step 2
In the pop-up tab we go to the «Share» tab. We click on «Advanced sharing»:
Step 3
We activate the «Share this folder» box and assign the name to the shared resource:
Step 4
Now we click on «Permissions» and we will see the following:
Step 5
Remove «All»:
Step 6
Click on «Add»
Step 7
We add «Domain users»:
Step 8
We see the added group:
Step 9
We configure the appropriate permissions and apply the changes, we can see the path established with the shared folder:
We close the window..
Step 10
On the client computer from «Network» you can access the shared folder on the server:
Step 11
In the «Server Manager» we go to «File Services and Shares»:
Step 12
In «Shared Resources» we will see the previously shared folder:
Step 13
We right click on the folder and go to «Properties»:
Step 14
Then we go to «Configuration» and we will see the following:
Step 15
We activate the «Enable enumeration based on access» box:
Apply the changes by clicking apply and then Add.
Step 16
Choices
The available options are:
- Enable access-based enumeration: allow users to only view folders with edit permission, those that are read-only will be hidden
- Allow share caching: enable sharing without connection
- Enable BranchCache on file share: This option caches resources for later access
- Encrypt Data Access — Encrypts access to files for added security.
Now we create a folder with read-only permissions:
Step 17
We can verify that this will not be visible from the client computer:
Step 18
We go to the Server Manager and click on «Add roles and characteristics»:
Step 19
The following wizard will be displayed:
Step 20
We select «Feature-based or role-based installation»:
Step 21
In the next window we select the server:
Step 22
Click Next to go to the roles section, go to «File and storage services», display «iSCI and file services» and locate «File server resource manager»:
Step 23
We activate its box and we must add the characteristics:
Step 24
We will see the active role:
Step 25
Click Next and skip the “Features” section, we will see a summary of the role to add:
Step 26
Click Install to complete the process:
Step 27
At the end of the action we will see the following:
We left the assistant.
Step 28
Now we go to «Tools — File server resource manager»:
Step 29
The following window will be displayed where we can see the various options to use:
Step 30
In this section we can apply quotas or limits for storage so that the disk is not occupied with non-essential data. We can filter the types of files to be used on the file server if we want:
Step 31
We are going to create a quota to see how it works, right click on «Quotas» and select «Create quota»:
Step 32
We set the path and the parameter, apply the changes:
Step 33
We see the quota created:
Step 34
When we try to copy something in the folder that exceeds the quota we will see the following error:
Step 35
It is possible to create a shared resource from the administrator, for this we go to «File services and shared resources», then we go to Shared Resources and in Tasks select «New share»:
Step 36
The following window will be displayed where we select the profile to use:
Step 37
We select the location where the resource will be:
Step 38
Then we set the resource path:
Step 39
Click Next and configure the desired parameters:
Step 40
Next we define the permissions:
Step 41
Click Next to see a summary of the resource:
Step 42
Click on Create to apply the changes:
Step 43
We will see the new share:
Step 44
On the client computer we will have access to the new share in Windows Server 2022:
This is the step-by-step process to install and configure a file server on Windows Server 2022.
Access Based Enumeration (ABE) allows you to hide objects (files, folders) on local resources from users who do not have the permissions needed to access them. Limiting visibility makes it easier for employees to navigate the file server, while also preventing speculation about the contents of folders with evocative names. Even if they can’t get inside, just seeing a folder labelled “2023_Restructuring” could get people spreading rumors.
Access-based Enumeration was designed to stop the rumor mill from churning. It ensures that nosy employees do not even see objects they have no permissions for. In this article, we are going to explain how to set up ABE correctly and how it works on different Windows drives.
What Is Access Based Enumeration?
Every company has different types of data: confidential, secret and top secret. Because this data is usually kept on file servers shared by many people, NTFS permissions are used to ensure that only the right people have access to this information. NTFS, short for New Technology File System, gives you granular options for setting access rights in Windows and Windows Server environments (List folder contents, Read & Execute, Modify etc).
This ensures that your staff’s file server access is limited to intended assets and intended actions. For more information on the topic of NTFS permissions, our article on the subject outlines NTFS Best Practices and common mistakes.
Why Use Access Based Enumeration?
Up until Windows Server 2008, admins had to pay extra attention to how and especially WHERE they set up new folder structures. Users with access to a particular folder were automatically able to see all of its subfolders, even if they did not have the necessary permissions to open those folders. This scenario was quite common and led to all kinds of problems:
-
The folder name itself might contain confidential information (e.g. “Facility_NJ_jobcuts“).
-
Users might assume there is a mistake and bombard admins with e-mails like, “Why can’t I open this folder?!”
-
File server structures became cluttered and confusing.
The reason why file server structures became so confusing is because admins had to find ways to hide certain objects from unauthorized users. One way of doing this was to move objects to deeper levels on the file server – which meant that shared files might be buried under layers and layers of different folders. Access-based enumeration put an end to this challenge.
“Hey, you’ll never guess what I just saw!” With Access Based Enumeration, you can stop rumors before they start. (c) Михаил Решетников
What Does Access Based Enumeration Do?
Access-based enumeration was introduced with Windows Server 2003 R2. Since Windows Server 2012, ABE is available as an option in the server manager console. It is set up using the file and storage services role in the server manager. When enabled, ABE ensures that any files and folders users do not have privileges for are not shown to them in the directory tree.
How to Enable Access Based Enumeration
ABE must be explicitly enabled. Read this article to find out how to do this on Windows Server 2016. The feature is also available for NetApp, where ABE is activated via the ONTAP Command Line. For access-based enumeration to work correctly, NTFS permissions must also be set correctly.
ABE in DFS
Since Windows 2008 R2, access-based enumeration also works in the Distributed File System (DFS). It must also be explicitly activated using DFS management. More information on how to enable ABE for a DFS namespace.
DFS: A must-have when many users share access to a folder. Adobe Stock, (c) Hero Images
Does ABE Affect Performance?
Access Based enumeration affects how and whether information on file shares is displayed. For instance, to determine which objects need to be hidden from an employee as they click their way through shared resources, Windows has to check all permissions for all files and folders contained within these folders.
Back in 2003, when ABE was first introduced, this process required considerable amounts of CPU power, which in turn led to a loss in performance and thus to an increase in costs. Learn more about this technical phenomenon here.
Nowadays, performance loss when you enable ABE is no longer an issue. Even for very large environments, Microsoft currently cites that the additional CPU power required is at around 2-3 percent. For shares containing a max. of 15,000 files, no differences in performance could be observed at all.
Best Practices: ABE and NTFS Permissions
As indicated above, enabling ABE alone is not enough. In order for access-based enumeration to work, users must also have the correct NTFS permissions needed to navigate to any subfolders they do have permissions for (List Folder Contents).
Example: If a user has the permission “Modify” for a folder located on level 2, this does not automatically give the user the right to browse level 1. To browse level 1, they must be given the List Folder Contents permission for level 1. Ideally, this would be done using a specifically designated list group.
Here is the recommended approach: The security groups that contain the different permissions for a folder on level 2 are added to a different security group that holds the List Folder Contents permission for the superordinate folder (in this case, level 1). This way, any users that are assigned read or write privileges via the corresponding permission groups automatically receive the necessary list rights in order to navigate to the folder in question.
If you want to set permissions on deeper levels, the procedure is the same: there are list groups for levels 1 and 2, so permission groups on level 3 are added to list groups on level 2, which are themselves members of list groups on level 1. See our infographic below for context:
Best practices for enabling access-based enumeration in Microsoft Windows, (c) tenfold Software
Deactivate Inheritance
Access Control Lists use the concept of inheritance, which means that access rights are automatically passed on from parent folders or files to subordinate (child) folders/files. To ensure ABE works correctly, it is very important to restrict inheritance when assigning these permissions.
If you enable inheritance for the “list contents” permission, users will be able to browse all folders on the file server because the permission needed to browse level 1 would propagate to all subordinate files and folders. To learn how to deactivate the inheritance function in Windows 10, click here.
Access Based Enumeration Increases Data Security
Access Based enumeration is an important aspect of data protection. While ABE cannot replace firewalls or virus scanners, it plays a major part in improving data security on the inside. As an admin, your mantra will always be: better safe than sorry. Assume the worst, which is that users will inevitably click their way through file shares in the company network if they can.
A folder named after to its purpose (e.g. “Restructuring_Fall_2022”) may stir up uncertainties and/or questions among users, even if they cannot access to the folder’s contents.
However, employee data theft is not the only issue we must consider; social engineering or other types of information misuse may also lead to significant problems.
ABE: Not Entirely Automated
In the best-case scenario, Access Based Enumeration works as follows:
-
With a combination of appropriate list groups and ABE enabled, you can ensure that users are only able to browse folders on the file server which they have the necessary permissions for.
-
Nesting list groups with other permission groups makes the process of assigning folder permissions quite straightforward because the user simply has to be added to the relevant permission group to receive access.
-
The user automatically receives the list rights needed to browse any superior folders simply by being a member of the necessary parent list groups.
As you can see: Access Based Enumeration works – but only if admins configure all settings and properties in accordance with best practices. If a share or its subfolders are not configured correctly or if you accidentally apply the unaltered default settings, users will be able to see the entire directory list, even with ABE active.
Whitepaper
Best Practices for Access Management In Microsoft® Environments
An in-depth manual on how to set up access structures correctly, including technical details. Also includes information on reporting and tips for implementation.
Apply an Access Management Strategy to Put Things Right
Once your company reaches a certain size and you have a large number of users accessing many shared objects on the file server, the time and effort it takes admins to manually manage all these settings and permission groups grows out of control. Managing numerous folders on levels 2, 3 or even deeper within the folder structure, means tracking hundreds or even thousands of nested groups. Not only is this a lot of work, but it also increases the risk of errors significantly.
For businesses with 100 users or more, it is therefore recommended to invest in an access management solution to simplify these processes.
tenfold creates and manages list groups automatically, sets permissions for folders on the basis of configurable rules and always uses best practice compliant groups. Learn more about file server access management with tenfold.
Automated Access Management
In businesses that do not yet employ dedicated Identity & Access Management software, you will inevitably come across users who hold outdated and/or superfluous permissions. A common practice that contributes to this kind of privilege creep is the practice of copying existing reference users to create accounts for new hires.
The good news is, not only does tenfold create and manage list groups automatically to ensure the access-based enumeration works smoothly, it also removes any outdated permissions found when it is first installed.
How does it do this? tenfold uses role-based access control through a profile system. The profile system must be configured one time when tenfold is initially installed. Once that is done, tenfold is able to assign default rights automatically, based on certain user attributes (such as department, location or role) and across systems (Active Directory®, SAP ERP, etc.).
Of course, it is not enough to match up and sort permissions just one time upon installation. Users change departments, they go on parental leave, they resign. And with each change, the permissions they need change, too. To stay on top of that, tenfold conducts automatic user access reviews. In this process, data owners are sent periodic reminders to confirm permissions they granted are still in use. With this approach, outdated privileges can be removed with just one click!
Sources:
http://woshub.com/enable-access-based-enumeration-in-windows-server/
https://docs.microsoft.com/en-US/windows-server/storage/dfs-namespaces/enable-access-based-enumeration-on-a-namespace
About the Author: Nele Nikolaisen
Nele Nikolaisen is a content manager at tenfold. She is also a book lover, cineaste and passionate collector of curiosities.
Удивительно, но несмотря на то, что Access-based Enumeration (ABE) появился ещё во времена Windows 2003 (SP1) (в русской редакции эта функция называется «Перечисление на основе доступа»), данной функцией пользуются до сих пор крайне небольшое количество системных администраторов, хотя данный функционал может достаточно сильно сберечь нервы, не отвечая постоянно на вопрос пользователя «а почему меня не пускает в папку Х?». Об этой полезной функции сегодня мы и поговорим.
Немного поговорим о теории и на пальцах разберём как происходит общение между клиентом и сервером в вопросе предоставления файловых данных:
— клиент обращается к серверу с запросом на доступ к определённой директории
— сервер проверяет — есть ли у пользователя разрешение на доступ к этой директории
— если у пользователя доступ к директории (чтение/листинг) разрешён — пользователи видит директории/файлы в этой директории
— по той же схеме пользователь запрашивает доступ к другим директориям/файлам
т.е. можно сделать вывод что проверка прав доступа производится после показа всего содержимого, что не всегда есть хорошо. Расскажу вот абстрактную историю из жизненного опыта: приходит на работу жена ген.директора и пытается совать нос во все дела компании, и естественно хочет получить доступ ко всем данным компании, хранящимся на файловом сервере. С одной стороны — доступ ей давать никто особо и не хочет, по тому что не надо ей туда лезть (ну как максимум — доступ на чтение, но это крайний случай), с другой стороны — жена генерального директора это вам не рядовой менеджер организации и просто так запрос не отклонишь. Но ведь она не в курсе — а что именно хранится на файловом сервер и какая структура данных там существует. Именно в такой ситуации нам и поможет ABE, она позволяет проверять права доступа до обращения к директориям/файлам в директории. Т.е. пользователь заходит в корневую директорию, допустим share и видит всего пару директорий, когда на самом деле все остальные сотрудники (ну кому это положено) видят полную структуру директорий и файлов. Соответственно не возникает вопросов что нет доступа в директорию Х и выдайте мне срочно-срочно права на полный доступ. Это один из тех примеров, когда IT подразделению приходится решать не совсем их проблемы, но чем можно очень сильно облегчить собственную жизнь. Но в принципе эта технология позволяет предотвратить несанкционированные действия в сторону файлового сервера. Ведь многие из вас ни раз встречали среди офисных сотрудников «мини-хакеров», как я люблю их называть. Которые любят позапускать сетевые сканеры, поискать дыры на ваших серверах и вообще — занимаются не работой, а членовредительством.
Настройка в Windows (у меня в данном случае свеженький 2012) достаточно проста:
Включаем данную функцию:
Ну а дальше остаётся лишь настроить права на директории и всё. Директории, в которые у пользователя доступ есть — видны ему, а в которые доступ запрещён или не выдан — не видны.
Ну а клиент соответственно видит только то что ему положено
Настройка в linux ещё более проста, она сводится к включению ABE в конфиге samba:
access based share enum = yes
и выдать так же правильные права на директории.
Что хотелось бы сказать в конце:
Как можно уже логически догадаться — чем больше директорий в корневой директории — тем медленее будет осуществляться доступ к данным. Продумывайте более иерархичной. Microsoft заявляет, что при наличии 15000 файлов осуществляется падение скорости открытия папки на 1-3 секунды. ABE отлично сочетается с DFS, для более удобного администрирования сетевых ресурсов. Облегчайте жизнь себе и своим последователям, делайте администрирование простым, быстрым и удобным.
Это пожалуй первое упоминание Windows Server в моём блоге, но это не значит что я как то игнорирую эту ОС в своей работе, или не знаю её, или она мне на столько не нравится. Да, может быть это конечно в какой то мере и так, но с выходом Windows Server 2012 моё мнение несколько изменилось в лучшую сторону, эта система стала для меня более удобной (ну разве что мне не хватает кнопки пуск и меня бесит Метро-интерфейс) и интересной в плане работы с ней. Так что, возможно, теперь упоминания о ней будут чаще проскакивать в моём блоге 🙂
Мне часто приходится слышать вполне логичный вопрос от своих слушателей:
«Почему Windows показывает пользователям ВСЕ файлы из общих папок, несмотря на то, что к большей их части у пользователя все равно нет доступа?»
Ответ на вопрос и способ решения проблемы описаны в этой статье. В процессе написания и тестирования открыл для себя много интересного.
Содержание
Теория
Практика
ABE и Windows Server 2003 / R2
ABE и Windows Server 2008 / R2
ABE и Windows Vista, Windows 7
ABE и DFS (Distributed File System)
ABE и Group Policy
В каких случаях ABE не работает?
Выводы
Теория
Встроенный в Windows механизм отображения общих папок уходит своими корнями в дремучие времена клиентов DOS и сервера Microsoft LAN Manager. В то время и количество сетевых ресурсов было небольшим, и вычислительные возможности систем ограничены. Поэтому алгоритмы предоставления информации о сетевых ресурсах были предельно простыми и, по большому счету, они не изменились до сегодняшнего дня.
Упрощенно, последовательность обращения к файлу в «шареной папке» выглядит так:
- клиент, обращаясь к серверу LAN Manager (сервис LanmanServer в современных Windows), получает список всех общих папок, находящихся на нем;
- пользователь выбирает название общей папки и пытается к ней подключиться;
- сервер проверяет, есть ли у пользователя разрешение на выбранную общую папку и, при наличии разрешения, высылает клиенту список всех файлов и папок в ней находящихся;
- пользователь выбирает интересующий его файл и пытается его открыть;
- сервер проверяет, есть ли у пользователя права доступа к выбранному файлу и, если они есть, высылает пользователю сам файл.
Исходя из указанной выше последовательности видно, что сервер проверяет клиентские права доступа на файлы и папки уже ПОСЛЕ того, как пользователь получает список доступных ресурсов и выбирает один из них.
Функционал Access-based Enumeration (ABE) позволяет решить проблему избыточного отображения файлов и папок на сетевых ресурсах, к которым у конечного пользователя все равно нет доступа.
После активации ABE сервер начинает проверять права пользователя на ресурсы ДО ТОГО, как высылает клиенту список имеющихся в общей папке ресурсов. Соответственно, в список попадают только те файлы и папки, которые пользователь может открыть, и ничего лишнего пользователь больше не видит.
Пример того, как общая папка Docs с включенной опцией ABE выглядит со стороны клиента …
… а вот, что на самом деле лежит в папке Docs (после отключения ABE):
Разница существенная 
.
Практика
В русскоязычном интерфейсе Windows термин Access-based Enumeration (ABE) переводится как «Перечисление на основе доступа«.
Опция ABE доступна для настроек общих папок, начиная с Windows Vista. Windows XP функционал ABE не поддерживает. ABE может также применяться и для пространства имен DFS (Distributed File System). Детали ниже.
ABE и Windows Server 2003 / R2
В Windows Server 2003 функционал Access-based Enumeration появился вместе с Service Pack 1. Средства настройки ABE, тем не менее, в Service Pack не встроены. Скачать их можно тут.
В процессе установки средств управления ABE мастер предлагает включить ABE на все имеющиеся папки или включить ABE в индивидуальном режиме позже.
После установки пакета в свойствах всех папок на Windows Server 2003 появляется вкладка Access-based Enumeration. На ней можно включить/отключить ABE индивидуально для каждой общей папки или для всех имеющихся папок сразу.
Обратите внимание, что для всех созданных после установки ABE общих папок функция ABE будет ОТКЛЮЧЕНА и на новых папках ее нужно активировать принудительно.
Сделать это можно через вкладку Access-Based Enumeration или через утилиту командной строки abecmd.exe на всех папках сразу…
C:>abecmd /enable /all
Access Based Enumeration enabled on all shares
… или на отдельных папках индивидуально:
C:>abecmd /enable UsersData
Access Based Enumeration enabled on share «UsersData»
Выбирайте, как удобнее. Abecmd.exe может прекрасно работать, например, в составе пакетного файла, запускаемого на сервере ежедневно.
ABE и Windows Server 2008 / R2
В Windows Server 2008 функционал ABE встроен, но ведет себя различно, в зависимости от того, каким способом вы создаете общую папку. Кроме того, сам интерфейс настройки ABE «упрятан» довольно глубоко, совсем не так, как в Windows Server 2003.
Чтобы у вас не было сюрпризов в рабочей среде, разберем варианты работы с общими папками и настройки ABE более детально.
Вариант 1.
Управление через Windows Explorer
При создании общей папки через Windows Explorer (свойства папки —> вкладка Sharing) функционал ABE включается автоматически.
При этом интерфейс управления ABE в свойствах папки отсутствует в принципе.
Вариант 2.
Управление через консоль Share and Storage Management
Консоль Share and Storage Management показывает все общие папки нашего или удаленного сервера.
Если открыть свойства папки, то будет выведено такое окно:
При нажатии кнопки Advanced… мы, наконец, доберемся до ABE:
Из этой же консоли (Share and Storage Management ) можно создать и настроить новую общую папку с помощью мастера Provision Share. В настройках мастера на этапе SMB Settings мы можем выбрать Advanced… и получим ровно то же самое окно, что приведено выше. По умолчанию ABE включен.
Вариант 3.
Создание общей папки через команду NET SHARE
Команда NET SHARE часто применяется в сценариях запуска или пакетных файлах настройки сервера.
C:>net share UsersData=D:Users
UsersData was created successfully
Обратите внимание, что на общих папках, созданных этой утилитой, функционал ABE по умолчанию НЕ ВКЛЮЧЕН.
Вариант 4.
Создание папок с помощью сценариев, пакетов-установщиков и пр.
У вас еще остается возможность создания общих папок с помощью сценариев VBScript, PowerShell и др. Все варианты проверить сложно, поэтому я бы рекомендовал вам запустить свои сценарии в тестовой среде, и выяснить, будет ли включен ли ABE по умолчанию сразу после создания общей папки.
Также неизвестно, как поведет себя настройка ABE при создании общей папки программой-установщиком какого-нибудь приложения, требующего для своей работы наличия общей папки. Проверка выполняется только опытным путем в тестовой среде.
Вариант 5.
Управление ABE через утилиты командной строки
Как ни странно, ни одной утилиты командной строки для настройки ABE в Windows Server 2008 не предусмотрено. Пакет управления ABE для Windows Server 2003 на Windows Server 2008 ставиться отказывается.
Остается один вариант: скопировать утилиту abecmd.exe с 2003 сервера на 2008. Работает, проверено.
ABE и Windows Vista, Windows 7
Что интересно, клиентские системы Microsoft также прекрасно поддерживают ABE. Если у вас имеется много общих папок на клиентах, вполне разумно будет включить на них ABE. Как это сделать? Все так же, как и для Windows Server 2008, с помощью утилиты abecmd.exe, потому что никаких вообще средств настройки ABE на клиентах нет.
Поскольку пакет управления ABE для Windows Server 2003 на Windows Vista / 7 не устанавливается, сначала установите его на Windows Server 2003. Затем с сервера из папки %systemroot%system32 скопируйте утилиту abecmd.exe на клиента уже в локальную папку %systemroot%system32. 32-разрядная утилита abecmd.exe прекрасно работает на 64-разрядных системах.
Кстати, ABE на клиентах особенно актуален в домашней сети .
ABE и DFS (Distributed File System)
В Windows Server 2008 появилась поддержка ABE для пространств имен DFS.
В некоторых источниках и утилитах ABE для DFS может называться ABDE (Access Based Directory Enumeration). Я буду использовать термин ABE. Например, в рассматриваемой ниже утилите dfsutil.exe ключи abe и abde взаимозаменяемы.
Настройка ABE для ссылки пространства имен DFS не то же самое, что настройка ABE для общей папки, на которую эта ссылка ведет. Клиент получает от сервера DFS ссылку DFS еще до того, как делает попытку обращения к реальной общей папке.
По умолчанию, конечный пользователь видит всю иерархию ссылок пространства имен DFS. Соответственно, задача администратора — ограничить список DFS только доступными пользователю ссылками.
Для сложных доменных DFS важно правильно выполнить настройки ABE, чтобы они не терялись при перезапуске сервиса и реплицировались между серверами DFS.
Предварительные требования к настройке ABE на доменных DFS
Для настройки ABE на доменных DFS (Domain-based DFS) необходимо проверить следующее:
1) домен должен работать в режиме Windows Server 2008 и выше;
2) лес должен работать в режиме Windows Server 2003 и выше;
3) сервер DFS должен быть Windows Server 2008 и выше:
4) само дерево DFS должно быть создано в режиме Windows Server 2008.
Для отдельно стоящих DFS (Stand-Alone DFS) перечисленные выше требования неактуальны.
Дальнейшая корректная настройка ABE для DFS состоит из двух этапов:
1) включение ABE на корне DFS и
2) настройка параметров видимости отдельных ссылок DFS.
Шаг 1. Включение ABE на пространстве имен (корне) DFS
По умолчанию функционал ABE НЕ ВКЛЮЧЕН на вновь создаваемом пространстве имен (корне) DFS.
В Window Server 2008 это можно сделать только через утилиту dfsutil.exe:
C:>dfsutil property ABE enable \DC01Public
Done processing this command.C:>dfsutil property ABE \DC01Public
Namespace \DC01Public: ABDE ENABLED
Done processing this command.
В Windows Server 2008 R2 появилась возможность настройки ABE на DFS через графический интерфейс консоли DFS Management.
Еще раз напомню, что для того, чтобы на вкладке Advanced в свойствах доменного DFS появилась опция Enable access-based enumeration for this namespace, требуется выполнение четырех предварительных требований (см. выше).
Подробное описание настроек DFS для Windows Server 2008 R2 тут.
Шаг 2. Настройка параметров видимости отдельных ссылок DFS
В Windows Server 2000/2003 все ссылки DFS наследуют разрешения NTFS от папки на сервере, в которой размещен корень DFS. Вполне возможно управлять видимостью отдельных ссылок через изменение настроек прав доступа пользователей к ним. Например, если у пользователя нет права Read на ссылку, сервер DFS и не высылает ее на клиента.
Windows Server 2008 по умолчанию использует тот же механизм. Однако, управление видимостью ссылок через NTFS имеет ряд ограничений. Например, сервер DFS не реплицирует NTFS разрешения, сбрасывает их после перезапуска и т.д.
Чтобы корректно сохранять режим видимости ссылок пространства имен DFS в Window Server 2008 требуется явно настроить ABE на ссылке через утилиту dfsutil.exe:
dfsutil property sd grant … и т.д.
В Windows Server 2008 R2 настройка чуть проще, поскольку есть графический интерфейс:
Подробное описание настроек DFS для Windows Server 2008 R2 тут.
ABE и Group Policy
В Windows Server 2008 существует возможность создания общих папок через расширение групповых политик Preferences. В свойствах создаваемой общей папки вы можете указать, будет ли включен ABE для такой папки.
Серверы Windows Server 2008 и Windows 7 понимают все настройки Preferences.
Чтобы Preferences заработали для Windows Server 2003 и Windows Vista, требуется установить клиентский модуль расширения групповых политик. Детальное руководство по установке модуля расширения описано в KB943729. Для Windows XP также можно установить клиентский модуль расширения групповых политик, но функционал ABE в ней, напомню, не поддерживается.
В каких случаях ABE не работает?
Обратите внимание на некоторые тонкости применения ABE.
Функционал Access-based Enumeration НЕ РАБОТАЕТ или не применим в перечисленных ниже случаях:
- подключение к общим папкам на Windows XP, Windows Server 2000, Windows Server 2003 без Service Pack;
- обращение к общей папке, минуя сервис LanmanServer;
- получение списка общих папок с сервера (вы ВСЕГДА видите все общие папки на сервере; ABE контролирует список содержимого ВНУТРИ общей папки);
- получение списка принтеров от сервера печати;
- подключение общих дисков через сессии Remote Desktop;
- обращение к общей папке членов группы Administrators (имеется в виду группа на сервере, конечно), т.е. АДМИНИСТРАТОРЫ ВИДЯТ ВСЕ.
Не забывайте про этот список 
Выводы
Функционал Access-based Enumeration был одной из наиболее ожидаемых функций файловых серверов Windows на протяжении многих лет. И, несмотря на то, что ABE появился вместе с Windows Server 2003 SP1, многие администраторы до сих пор не подозревают о его существовании.
Дополнительные сложности в применении функционала ABE вызывает непоследовательный интерфейс настройки в разных версиях Windows и различное поведение ABE по умолчанию (в зависимости от способа создания общей папки).
Technorati Теги: Access-based Enumeration,ABE,abecmd.exe,Windows Server 2003,Windows Server 2008,R2,Windows 7,DFS,Shared Folders,File Server,dfsutil.exe,Group Policy,Domain-based DFS,Stand-Alone DFS
Introduction
The access-based enumeration allows to display in a network share, only folders and files whose use has at least a right of reading. Other documents and folders will be hidden.
Enabling this feature will increase the CPU resource consumption on the file server because at each access this will check what should be displayed.
Enabling EBA does not hide the network share.
In order to work properly, the NTFS rights must be set correctly and requires disabling the inheritance and removing the SERVER Users group rights because this group contains the Domain Users group.
1. On the server where the share is located, launch Server Manager and go to Manage File and Storage Services and view Shares 1 .
2. Right click on the shared folder 1 where the EBA must be activated and click Properties 2 .
3. Check the Enable access-based enumeration 1 check box and click Apply 2 then OK 3 .
The EBA is now enabled on the shared folder, we will see now configure the rights.
Configure NTFS rights to use EBA
To illustrate the tutorial, in the IT folder, I created a folder pmartin where only the user pmartin has the rights to it.
On a post, I logged in with the user dbon and I went on sharing, as can be seen on the screenshot below, the pmartin folder is not displayed.
Conclusion
Access-based enumeration provides additional security by hiding folders that users do not have access to, to work properly this involves properly configuring NTFS rights.