Windows Serverでアクセスベースの列挙（ABE）を有効にする方法は？

アクセスベースの列挙（ABE） オブジェクト（ファイルとフォルダ）にアクセスするために、ネットワーク共有フォルダでNTFSアクセス許可（読み取りまたは一覧表示）を持たないユーザーからオブジェクト（ファイルとフォルダ）を非表示にすることができます。したがって、共有フォルダーに保存されているデータの機密性を高め（フォルダーとファイルの構造と名前を非表示にするため）、ユーザーに奇妙なデータが表示されない（アクセスできない）ため、使いやすさが向上します。さらに重要なのは、システム管理者をユーザーからの絶え間ない質問から救うことです。「なぜこのフォルダにアクセスできないのですか!!!」 。このテクノロジ、構成の特殊性、およびさまざまなWindowsバージョンでのABEの使用について詳しく検討してみましょう。

Windowsで共有フォルダへのアクセスはどのように機能しますか？

Windowsのネットワーク共有フォルダテクノロジの欠点の1つは、デフォルトでは、すべてのユーザーが少なくともその構造と、アクセスするためのNTFSアクセス許可を持っていないものを含むそのようなフォルダ内のすべてのファイルとディレクトリのリストを表示できるという事実です（このようなファイルまたはフォルダを開こうとすると、ユーザーは「アクセスが拒否されました」というエラーを受け取ります。 ）。これらのファイルやフォルダにアクセスする権限を持たないユーザーからそれらのファイルやフォルダを非表示にしないのはなぜですか？アクセスベースの列挙はそれを行うのに役立ちます。共有フォルダでABEを有効にすることで、ユーザーの個別のアクセス許可（ACL）に基づいて、同じネットワーク共有内のフォルダとファイルの異なるリストが異なるユーザーに表示されるようにすることができます。

SMBを介して共有フォルダーにアクセスする場合、クライアントとサーバー間の相互作用はどのように発生しますか？

• クライアントがサーバーにネットワーク共有フォルダ内のディレクトリへのアクセスを要求します。
• サーバー上のLanmanServerサービスは、このフォルダーにアクセスするためのユーザー権限を確認します。
• アクセスが許可されている場合（NTFSアクセス許可：コンテンツの一覧表示、読み取りまたは書き込み）、ユーザーにはディレクトリのコンテンツが表示されます。
• 次に、ユーザーは同じ方法でファイルまたはサブフォルダーへのアクセスを要求します（このようなネットワークフォルダーで特定のファイルを開いたユーザーを確認できます）。
• アクセスが拒否された場合、それに応じてユーザーに通知されます。

このスキームによれば、サーバーは最初にフォルダーの内容全体をユーザーに表示し、ユーザーが特定のファイルまたはフォルダーを開こうとしたときにのみNTFSアクセス許可がチェックされることが明らかになります。

アクセスベースの列挙（ ABE ）ユーザーがフォルダの内容のリストを受け取る前に、ファイルシステムオブジェクトのアクセス許可を確認できます。したがって、最終的なリストには、ユーザーがアクセスするためのNTFSアクセス許可（少なくとも読み取り専用アクセス許可）を持つオブジェクトのみが含まれ、アクセスできないすべてのリソースは表示されません（非表示になります）。

これは、1つの部門（倉庫など）のユーザーに、共有フォルダー（\\ filesrv1 \ docs）内のファイルとフォルダーの1つのリストが表示されることを意味します。ご覧のとおり、ユーザーにはPublicとWarehouseの2つのフォルダのみが表示されます。

また、別の部門のユーザーの場合、e。たとえば、IT部門（別のWindowsセキュリティグループに含まれています）には、サブフォルダーの別のリストが表示されます。パブリックディレクトリとウェアハウスディレクトリに加えて、このユーザーには同じネットワークフォルダ内にさらに5つのディレクトリが表示されます。

WindowsファイルサーバーでABEを使用する主な欠点は、サーバーに余分な負荷がかかることです。 。これは、高負荷のファイルサーバーで特に顕著です。表示されたディレクトリにあるオブジェクトが多く、そのディレクトリでファイルを開くユーザーが多いほど、遅延は長くなります。 Microsoftによると、表示されたフォルダに15,000個のオブジェクト（ファイルとディレクトリ）がある場合、フォルダのオープンは1〜3秒遅くなります。そのため、共有フォルダ構造を設計するときは、フォルダを開くときの遅延を目立たなくするために、明確で階層的なサブフォルダ構造を作成することに十分な注意を払うことをお勧めします。

注。 アクセスベースの列挙は、ファイルサーバー上のネットワーク共有フォルダのリストを非表示にするのではなく、それらのコンテンツのみを非表示にすることを理解する必要があります。共有フォルダをユーザーから隠す必要がある場合は、共有名の最後に$記号を追加する必要があります。

コマンドプロンプト（ abecmd.exe ）からABEを管理できます ユーティリティ）、GUI、PowerShell、または特別なAPIから。

アクセスベースの列挙制限

Windowsでのアクセスベースの列挙は、次の場合には機能しません。

• ファイルサーバーとしてServicePack1を使用せずにWindowsXPまたはWindowsServer2003を使用している場合;
• ディレクトリをローカルで（サーバーから直接）表示している場合
• ローカルファイルサーバー管理者グループのメンバーの場合（ファイルの完全なリストは常に表示されます）。

Windows Server2008/2008R2でのABEの使用

Windows Server 2008 / R2では、アクセスベースの列挙機能を使用するために、ABE管理機能が既にWindows GUIに組み込まれているため、追加のコンポーネントをインストールする必要はありません。 Windows Server 2008/2008 R2の特定のフォルダーに対してアクセスベースの列挙を有効にするには、MMC管理コンソールの共有およびストレージ管理を開きます。 （[スタート] –>[プログラム]–>[管理ツール]->[共有とストレージの管理]）。必要な共有のプロパティに移動します。次に、詳細に移動します 設定とチェックアクセスベースの列挙を有効にする 。

Windows Server 2012 R2/2016でのアクセスベースの列挙の構成

Windows Server 2012 R2/2016でのABE構成も非常に簡単です。 Windows Server 2012でABEを有効にするには、最初にファイルおよびストレージサービスの役割をインストールする必要があります。 、次にサーバーマネージャーの共有プロパティに移動します。

設定 セクション [アクセスベースの列挙を有効にする]オプションをオンにします 。

WindowsServer2003でのアクセスベースの列挙の実装

Windows Server 2003（現在はサポートされていません）では、ABEは Service Pack 1からサポートされるようになりました。 。 Windows Server 2003 SP1（またはそれ以降）でアクセスベースの列挙を有効にするには、次のリンクからパッケージをダウンロードしてインストールする必要がありますhttps://www.microsoft.com/en-us/download/details.aspx?id=17510 。インストール中に、サーバー上のすべての共有フォルダーに対してABEを有効にするか、手動で構成するかを指定する必要があります。 2番目のオプションを選択すると、インストール後にネットワーク共有のプロパティに[アクセスベースの列挙]という新しいタブが表示されます。

特定のフォルダに対してABEをアクティブ化するには、[この共有フォルダでアクセスベースの列挙を有効にする]オプションをオンにします。 そのプロパティで。

Windows 2003はDFSベースのアクセスベースの列挙をサポートしていることに注意してください。ただし、 caclsを使用してコマンドプロンプトからのみ構成できます。 。

コマンドプロンプトからのABEの管理

アクセスベースの列挙設定は、Abecmd.exeユーティリティを使用してコマンドプロンプトから管理できます。このツールは、Windows Server 2003 SP1のAccessベースの列挙パッケージの一部です（上記のリンクを参照してください）。

Abecmd.exe すべてのディレクトリに対して一度に、または一部のディレクトリに対してのみABEをアクティブ化できます。次のコマンドは、すべての共有に対してアクセスベースの列挙を有効にします。

abecmd /enable /all

これは特定のフォルダ（たとえば、Docsという名前のネットワーク共有フォルダ）用です：

abecmd /enable Docs

PowerShellを使用したアクセスベースの列挙の管理

SMBShare PowerShellモジュール（Windows 10/8.1およびWindowsServer2016/2012 R2に既定でインストールされている）を使用して、特定のフォルダーのアクセスベースの列挙の設定を管理できます。特定の共有フォルダのプロパティを一覧表示しましょう：

Get-SmbShare Install|fl *

FolderEnumerationModeの値に注意してください 属性。この場合、その値は無制限です。 。これは、このフォルダに対してABEが無効になっていることを意味します。

サーバーのすべての共有フォルダーのABEのステータスを確認できます：

Get-SmbShare | Select-Object Name,FolderEnumerationMode

特定のフォルダに対してABEを有効にするには：

Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode AccessBased

公開されているすべてのネットワークフォルダー（管理共有ADMIN $、C $、E $を含む）に対してアクセスベースの列挙を有効にできます、IPC $、…）コマンドを実行して：

Get-SmbShare | Set-SmbShare -FolderEnumerationMode AccessBased

ABEを無効にするには、次のコマンドを使用します。

Get-SmbShare Install | Set-SmbShare -FolderEnumerationMode Unrestricted

Windows 10 / 8.1/7でのアクセスベースの列挙

多くのユーザー、特にホームネットワークまたはSOHOネットワークでも、アクセスベースの列挙機能を使用したいと考えています。問題は、MicrosoftクライアントOSには、アクセスベースの列挙を管理するためのグラフィカルインターフェイスもコマンドインターフェイスもないことです。

Windows 10（Server 2016）およびWindows 8.1（Server 2012R2）では、PowerShellを使用してアクセスベースの列挙を管理できます（上記のセクションを参照）。古いバージョンのWindowsでは、最新バージョンのPowerShell（> =5.0）をインストールするか、WindowsServer2003パッケージのabecmd.exeユーティリティを使用する必要があります。これはクライアントOSで正常に機能します。 Windows Server 2003Accessベースの列挙パッケージはWindows10、8.1、または7にインストールされていないため、最初にWindows Server 2003にインストールしてから、C：\ windows\system32ディレクトリから上の同じフォルダーにコピーする必要があります。クライアント。その後、上記のコマンドに従ってABEを有効にできます。

注。 企業環境では、ABEはユーザーからフォルダーを非表示にし、パブリックフォルダーツリーのより便利な構造を提供することにより、DFSフォルダーと完全に結合します。 DFS管理またはdfsutil.exeを使用してDFSでABEを有効にできます。
dfsutil property abde enable \\namespace_root

さらに、GPOを使用して、ADドメイン内のコンピューターでABEを有効にすることができます。これは、次のセクションのGPPを使用して実行できます：コンピューターの構成 ->設定 ->Windowsの設定 ->ネットワーク共有 。

ネットワークフォルダのプロパティには、アクセスベースの列挙 オプション、値を有効に変更した場合 、このGPOを使用して作成されたすべての共有フォルダーに対してABEモードが有効になります。