В Windows Server 2008 появился новый компонент, позволяющий администраторам скрывать от пользователей файлы и папки, к которым они не имеют права доступа. В корпоративной сети у каждого подразделения есть собственный общий каталог для хранения документов. К примеру, пользователи из отдела маркетинга имеют доступ ко всем папкам в своем общем каталоге, но не могут просматривать файлы в каталоге, скажем, кадрового или финансового отделов.
В предыдущих версиях Windows Server пользователи могли видеть даже те папки, к которым не имели права доступа. В Windows Server 2008 для решения этой проблемы предусмотрен новый компонент Access-based Enumeration (ABE), который поставляется в рамках роли файлового сервера (для Windows Server 2003 его можно загрузить отдельно). ABE позволяет администратору скрывать объекты на всем сервере или в отдельных каталогах.
Когда для общего каталога включен данный компонент, пользователи, не имеющие прав чтения на те или иные объекты, их просто не видят. Это позволяет предотвратить попытки несанкционированного доступа к объектам со стороны чрезмерно любопытных сотрудников и избавляет пользователей от необходимости созерцать окошко с предупреждением «Доступ запрещен».
Скрытие объектов, закрытых для чтения, может быть желательно и по причинам конфиденциального характера. К примеру, посторонним пользователям совершенно незачем знать имена папок в каталоге «Дебиторская задолженность». Если на файловом сервере включен компонент ABE, никто их и не увидит.
ABE позволяет привести общие каталоги в порядок, скрыв папки, которые пользователям не следует видеть, и сократить количество обращений в службу поддержки с вопросом, почему не открывается тот или иной файл. К тому же, это дает возможность защитить от любопытных глаз файлы, на которые по каким-либо причинам забыли поставить ограничения на просмотр.
Обратите внимание: ABE работает только при доступе к общим каталогам по протоколу SMB (Server Message Block — блок сообщений сервера). Если пользователь заходит на сервер с помощью утилиты «Подключение к удаленному компьютеру» (Remote Desktop), скрытые папки будут ему видны.
В других сетевых операционных системах (например, Novell Netware) подобные функции предусмотрены уже давно. Удивительно, что Microsoft понадобилось на это столько времени. Возможно, дело в том, что при правильной настройке прав доступа никакие дополнительные механизмы скрытия объектов и не нужны, но это далеко не единственный случай, когда может понадобиться закрыть от посторонних пользователей имена тех или иных папок.
Для Windows Server 2003 ABE можно загрузить отдельно. В системе должен быть непременно установлен пакет обновлений SP1.