限制用户查看无权限共享文件夹-嘉华金属(上海)有限公司.doc

限制用户查看无权限的共享文件夹 ??? 附件下载：/thread-294031-1-1.html ??? 公司文件服器上每个部门共享文件夹中存放许多的用户文件夹，不管你有没有权限访问打开部门文件夹就是一大堆共享文件，有同事就提出来，能不能不看到没有权限的文件夹呀，因为让人看到太多目录不利于管理也在安全上存在隐患。正好微软推出了“access-based enumeration”这个工具，但由于各种原因一直没有测试成功。 终于在一次讲座中得到一些灵感，又花了两天时终于测式成功了。 ??? 这个工具必须安装在Windows 2003 Server 并且有打SP1补丁 ??? 下载地址:??? /downloads/details.aspx?FamilyID=04a563d9-78d9-4342-a485-b030ac442084DisplayLang=en ??? ??? 下载完之后可以得到一个ABEUI.MSI的文件，双击开如安装,单击”Next” ??? ??? 选择”I Agree”, 单击”Next” ??? ??? 这里有两个选项,为了安全性在这里选择“Just me” ??? 如果你想把ABDE应用到已经存在的共享文件夹中请选第一项，否则选第二项??? 单击”Next”开始安装 ??? ??? ??? 安装完成单击”Close” ??? 安装完成后共享文件夹的属性里会多出一个access-based enumeration 项??? 环境??? 服务器端（DC）：smaxdc:Windows 2003 Server Enterprise+SP1??? 客户端(DC的一个Client)：Windows XP SP2??? 在这里我们以E盘作为存放共享文件的分区（最好为NTFS分区有利于权限控制）在E盘上建一个名为Shared的共享文件夹这个文件夹下面包含Pjj1020和Everyone两个子文件夹,Pjj1020只有特定用户可以访问，而Everyone任何用户都可以访问。??? 把Shared 设为完全共享 ??? ??? 然后我们需要把Pjj1020权限做特殊配置： ?????? ??? 回到属性对话框删除”USERS”用户,再“确定”，完成的权限设置 ??? ??? 我们在另一台机客户机上查看这两个共享 ??? 把“Enable access-based enumeration or this shared folder”如果想把这个设置应用到计算机所有已共享的文件夹上请选择”Apply this folder’s setting to all existing shared folders on this computer” ??? ??? 许多刚使作abe的人会发现按“确定”或“应用”之后前面勾上的这个选项会自动取消（可能就是很多人为什么试不成的原因吧！）这是因为在便用这个工具之必须先注册一个名为ABEUI.DLL ??? ??? 再在客户端来看一看，发现Pjj1020这个文件夹已经不现了 ??? ??? 当然你也可以用ABECMD来设置用户权限(具体的参数可以在命令提示行ABECMD /?)??? 如: ??? ??? 注意：??? 1、ABE功能对本地管理员无效??? 2、ABE改变了共享目录的访问方式，会增加服务器的CPU利用率并会降低访问速度??? 3、只有已经共享的目录属性里才会出现ABE属性页??? Access-based Enumeration??? /downloads/details.aspx?FamilyID=04A563D9-78D9-4342-A485-B030AC442084displaylang=en#filelist