Windows Server 2003 R2 ile gelmiş ve tüm Server 2003 R2 Edition’larına eklenmiş olan dosya tabanlı bir güvenlik sistemidir. Kısaca ABE olarak adlandırabileceğimiz bu sistem sayesinde share’lı klasörlerde daha sıkı güvenlik önlemleri alabiliyoruz.
Bilindiği üzere share ve NTFS izinleri ile klasörlere erişimleri kısıtlayabiliyoruz.
Bunun için Share Permission’lar da 3 izin mevcut “Read, Change ve Full Control” bu izinler ile Share’lı klasöre bağlanan kişilerin klasör içeriğini görüp göremeyeceğini, klasörü ve içeriğini silip silemeyeceğini veya izinleri etkileyip etkilemeyeceğini belirleyebiliyoruz.
Bunun dışında NTFS Permissions sayesinde de kişinin sadece klasör içeriğini görmesini sağlayıp içindeki dosyaları açmasını engellemek (list folder contents), kişinin klasör ve dosyaları açmasının yanında program da çalıştırabilmesi (Read&Execute) gibi ekstra özellikleri kullanabiliyoruz.
Peki şirket politikası gereği kullanıcıların ortak bir klasörde sadece izni olduğu klasörü görmesini digerlerinin varlığından haberdar olmasını istemiyorsak ne yapacağız?
Şimdi şöyle bir senaryo düşünelim; kullanıcılar ortak bir klasör içinde çalışıyorlar. Herkesin kendi klasörüne erişim hakkı Full Control fakat hiçbirinin bir diğer kullanıcı klasörüne (veya dosyasına) girme izni yok. Buraya kadar herşey normal gözüküyor. Peki bu ortak klasöre bağlanan kullanıcıların birbirlerinin klasör ya da dosyalarını hiç görmelerini istemiyorsak napacağız.
İşte Windows Server 2003 R2’ye kadar bu konuda herhangi bir düzenleme yoktu ancak R2 ile gelen Access Based Enumeration sayesinde yapacağımız küçük bir ayarlama ile kullanıcıların ortak klasörde sadece izni olan klasörleri görmesini diğerlerinden haberdar olmamasını sağlayabiliyoruz.
Bunun için ilgili klasör properties’inde Access Based Enumeration sekmesinde “enable access-based enumeration on this shared folder” kutucuğunun işaretli olması gerekmektedir. Bu check-box’ın işaretlenmesi durumunda Access Based Enumeration etkin hale gelecek ve ve kullanıcının sadece izni olduğu klasörü (En az read) görmesi sağlanmış olacaktır. Diğer klasörlerden ise haberdar olmayacaktır.
ABE ile ilgili bazı hususları da belirtmekte yarar var. ABE ile her kullanıcı ya da gruba bu özelliği uygulayabilirsiniz fakat Administrators grubuna dahil kullanıcıları bu uygulama etkilemeyecektir. Bu tür kullanıcılar ABE uygulanmış olsa bile klasörün içeriğini tamamı ile görebileceklerdir.
Ayrıca Terminal Servisleri dahilinde bu özelliği kullanamazsınız. Kullanıcı network üzerinden share’lı klasöre bağlandığında sistem işleyecek, terminal servisleri aracılığı ile bağlandığında ise ABE etkisiz hale gelecek ve klasör içeriği aynen görülmeye devam edecektir.
Mayıs 4th, 2009 at 13:28
Windows Server 2003 R2 sürümü ile gelen birçok yeniliği zaten kullanıyordum ama bundan haberim yoktu. Yararlı bir çalışma olmuş, çok teşekkürler.