如何在 Windows Server 上启用基于访问的枚举 (ABE)？

基于访问的枚举 (ABE) 允许对不具有网络共享文件夹 NTFS 权限（读取或列出）的用户隐藏对象（文件和文件夹），以便访问它们。因此，您可以为共享文件夹中存储的数据提供额外的机密性（由于隐藏文件夹和文件的结构和名称），提高其可用性，因为用户不会看到奇怪的数据（他们无权访问），更重要的是，使系统管理员免于不断询问用户“为什么我无法访问此文件夹！！！”。让我们尝试详细考虑该技术、配置特性以及 ABE 在各种 Windows 版本中的使用。

在 Windows 中如何访问共享文件夹？

Windows 中网络共享文件夹技术的缺点之一是，默认情况下所有用户至少可以看到其结构以及此类文件夹中所有文件和目录的列表，包括他们没有 NTFS 权限访问的文件和目录（当用户尝试打开此类文件或文件夹时，用户会收到错误“访问被拒绝”）。为什么不向无权访问这些文件和文件夹的用户隐藏这些文件和文件夹呢？基于访问的枚举可以帮助做到这一点。通过在共享文件夹上启用 ABE，您可以确保不同的用户根据用户的个人访问权限 (ACL) 在同一网络共享中看到不同的文件夹和文件列表。

通过 SMB 访问共享文件夹时，客户端和服务器之间如何进行交互？

• 客户端请求服务器访问网络共享文件夹中的某个目录；

• 服务器上的LanmanServer服务会检查用户访问该文件夹的权限；

• 如果允许访问（NTFS 权限：列出内容、读或写），则用户可以看到目录内容；

• 然后用户以同样的方式请求访问文件或子文件夹（您可以像这样查看谁打开了网络文件夹中的特定文件）；

• 如果访问被拒绝，则会相应地通知用户。

根据此方案，很明显，服务器首先向用户显示文件夹的全部内容，并且仅当用户尝试打开特定文件或文件夹时才检查 NTFS 权限。

基于访问的枚举 (ABE) 允许在用户收到文件夹内容列表之前检查文件系统对象的访问权限。因此，最终列表仅包括用户具有 NTFS 权限访问（至少是只读权限）的那些对象，并且所有无法访问的资源都不会显示（隐藏）。

这意味着某个部门（例如仓库）的用户将看到共享文件夹 (\filesrv1\docs) 中的文件和文件夹列表。正如您所看到的，只为用户显示两个文件夹：Public 和 Warehouse。

对于来自其他部门的用户，例如。例如，IT 部门（包含在另一个 Windows 安全组中），会显示不同的子文件夹列表。除了 Public 和 Warehouse 目录之外，该用户还可以在同一网络文件夹中看到另外 5 个目录。

在 Windows 文件服务器上使用 ABE 的主要缺点是服务器上的额外负载。在高负载文件服务器中尤为突出。查看目录中的对象越多，用户打开该目录上的文件越多，延迟时间就越长。根据微软的说法，如果显示的文件夹中有 15,000 个对象（文件和目录），则文件夹打开速度会慢 1-3 秒。因此，建议在设计共享文件夹结构时，应注意建立清晰且分层的子文件夹结构，以减少打开文件夹时的延迟现象。

注意。 您应该了解，基于访问的枚举不会隐藏文件服务器上的网络共享文件夹列表，它仅隐藏其内容。如果需要对用户隐藏共享文件夹，则必须在共享名末尾添加 $符号。

您可以通过命令提示符（abecmd.exe实用程序）、GUI、PowerShell 或特殊 API 来管理 ABE。

基于访问的枚举限制

Windows 上基于访问的枚举在以下情况下不起作用：

• 如果您使用不带 Service Pack 1 的 Windows XP 或 Windows Server 2003 作为文件服务器；

• 如果您在本地查看目录（直接从服务器）；

• 对于本地文件服务器管理员组的成员（他们始终看到完整的文件列表）。

在 Windows Server 2008/2008 R2 上使用 ABE

在 Windows Server 2008/R2 中，要使用基于访问的枚举功能，无需安装其他组件，因为 ABE 管理功能已内置于 Windows GUI 中。要对 Windows Server 2008/2008 R2 中的某个文件夹启用基于访问的枚举，请打开 MMC 管理控制台共享和存储管理（开始 -> 程序 -> 管理工具 -> 共享和存储管理）。转到所需共享的属性。然后转到高级设置并选中启用基于访问的枚举。

在 Windows Server 2012 R2/2016 上配置基于访问的枚举

Windows Server 2012 R2/2016中的ABE配置也非常简单。要在 Windows Server 2012 中启用 ABE，您首先必须安装文件和存储服务角色，然后转到服务器管理器中的共享属性。

在设置部分中，选中启用基于访问的枚举选项。

在 Windows Server 2003 上实现基于访问的枚举

在 Windows Server 2003（现在不支持）中，从 Service Pack 1 开始支持 ABE。要在 Windows Server 2003 SP1（或更高版本）中启用基于访问的枚举，您必须通过以下链接下载并安装软件包：http://www.microsoft.com/en-us/download/details.aspx?id=17510。在安装过程中，您必须指定是否为服务器上的所有共享文件夹启用 ABE，否则您将手动配置它。如果选择第二个选项，安装后网络共享属性中将出现一个新选项卡“基于访问的枚举”。

要激活某个文件夹的 ABE，请选中其属性中的选项在此共享文件夹上启用基于访问的枚举。

值得一提的是，Windows 2003 支持基于 DFS 的基于访问的枚举，但只能使用 cacls 从命令提示符进行配置。

从命令提示符管理 ABE

您可以使用 Abecmd.exe 实用程序从命令提示符管理基于访问的枚举设置。该工具是 Windows Server 2003 SP1 的基于访问的枚举包的一部分（请参阅上面的链接）。

Abecmd.exe 允许一次为所有目录激活 ABE，或者仅为其中一些目录激活 ABE。下一个命令为所有共享启用基于访问的枚举：

abecmd /enable /all

这是针对某个文件夹的（例如，名为 Docs 的网络共享文件夹）：

abecmd /enable Docs

使用 PowerShell 管理基于访问的枚举

您可以使用 SMBShare PowerShell 模块（默认安装在 Windows 10/8.1 和 Windows Server 2016/2012 R2 中）来管理特定文件夹的基于访问的枚举的设置。让我们列出特定共享文件夹的属性：

Get-SmbShare Install|fl *

您可以检查服务器所有共享文件夹的 ABE 状态：

Get-SmbShare | Select-Object Name,FolderEnumerationMode

要为特定文件夹启用 ABE：

Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased

Get-SmbShare | Set-SmbShare -FolderEnumerationMode AccessBased

要禁用 ABE，请使用以下命令：

Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode Unrestricted

Windows 10/8.1/7 中基于访问的枚举

许多用户，尤其是家庭或 SOHO 网络中的用户，也希望使用基于访问的枚举功能。问题在于 Microsoft 客户端操作系统既没有图形界面也没有命令界面来管理基于访问的枚举。

在 Windows 10 (Server 2016) 和 Windows 8.1 (Server 2012R2) 中，您可以使用 PowerShell 来管理基于访问的枚举（请参阅上面的部分）。在旧版本的 Windows 中，您需要安装最新版本的 PowerShell (>= 5.0) 或使用 Windows Server 2003 软件包中的 abecmd.exe 实用程序，它在客户端操作系统上运行良好。由于 Windows Server 2003 Access-based Enumeration 包未安装在 Windows 10、8.1 或 7 上，因此您必须先在 Windows Server 2003 上安装它，然后将其从 C:\windows\system32 目录复制到客户端上的同一文件夹中。之后，您可以按照上述命令启用ABE。

注意。 在企业环境中，ABE 与 DFS 文件夹完美结合，向用户隐藏文件夹并提供更方便的公用文件夹树结构。您可以使用 DFS 管理或 dfsutil.exe 在 DFS 中启用 ABE：

dfsutil property abde enable \namespace_root

此外，您可以使用 GPO 在 AD 域中的计算机上启用 ABE。这可以使用以下部分中的 GPP 来完成：计算机配置 -> 首选项 -> Windows 设置 -> 网络共享）。