Die zugriffsbasierte Aufzählung (ABE) ist eine der Windows-Optionen für freigegebene Ordner, die zwar recht einfach klingt, in der Praxis aber etwas knifflig sein kann. Im Prinzip blendet sie Dateien und Ordner aus, für die Benutzer keine Berechtigung haben – sehr nützlich, wenn Sie Ordnung halten oder den Zugriff einschränken möchten, ohne ständig Berechtigungen ändern zu müssen. Wenn Ihnen schon einmal aufgefallen ist, dass beim Durchsuchen einer Netzwerkfreigabe einige Verzeichnisse für bestimmte Benutzer verschwinden, ist ABE wahrscheinlich die Ursache. Es ist eine clevere Methode, die Verzeichnisstruktur und Dateinamen zu verbergen, aber die korrekte Einrichtung ist nicht immer offensichtlich. Diese Anleitung erklärt, wie Sie ABE sowohl über die grafische Benutzeroberfläche als auch über die Befehlszeile richtig aktivieren, damit Benutzer nur die Dateien sehen, die sie sehen sollen.
Nach der korrekten Konfiguration kann die Aktivierung von ABE einen enormen Unterschied machen, insbesondere in Umgebungen mit vielen freigegebenen Ordnern. Statt einer unübersichtlichen Liste sehen Benutzer nur noch die relevanten Informationen. Beachten Sie jedoch, dass dies keine Zauberei ist – lokale Administratoren behalten weiterhin vollen Zugriff, und manchmal ist ein Aktualisieren der Ansicht oder das erneute Anwenden von Einstellungen erforderlich, da Windows Berechtigungen mitunter nicht sofort aktualisiert. So funktioniert es:
So beheben oder aktivieren Sie die zugriffsbasierte Aufzählung in Windows Server und Workstations
Verwendung der zugriffsbasierten Enumeration auf Windows Server
Angenommen, Sie haben einen freigegebenen Ordner auf einem Windows-Server, beispielsweise ` \\FileServer\Shared`, mit verschiedenen Unterordnern für unterschiedliche Abteilungen. Standardmäßig sehen alle Benutzer die gesamte Verzeichnisstruktur, was ungünstig ist, wenn Sie bestimmte Verzeichnisse vor bestimmten Gruppen verbergen möchten. Um dies zu beheben, müssen Sie die automatische Zugriffsbeschränkung (ABE) für die Freigabe aktivieren. Das ist etwas ungewöhnlich, erfolgt aber über den Server-Manager. So gehen Sie vor:
- Servermanager öffnen
- Gehen Sie zu Datei- und Speicherdienste
- Aktien auswählen
- Klicken Sie mit der rechten Maustaste auf Ihre Freigabe und wählen Sie „Eigenschaften“.
- Wechseln Sie zur Registerkarte „Einstellungen“.
- Aktivieren Sie die zugriffsbasierte Aufzählung.
Nach der Aktivierung klicken Sie auf „Anwenden“ und aktualisieren Ihre Freigabe im Explorer ( F5), um die Änderung zu sehen. Normalerweise wird die Ordneransicht schnell aktualisiert. Sollte dies nicht der Fall sein, kann ein Serverneustart oder eine erneute Freigabe Abhilfe schaffen. Bei manchen Konfigurationen kann das Verhalten unvorhersehbar sein. Testen Sie die Funktion daher mit einem Benutzerkonto, das nur bestimmte Verzeichnisse sehen soll. Im Idealfall sehen Benutzer nur die Ordner, auf die sie Zugriff haben – endloses Scrollen gehört damit der Vergangenheit an.
Wenn Sie viele Freigaben in einer Domäne verwalten, können Sie dies mithilfe von Gruppenrichtlinien implementieren.Öffnen Sie dazu einfach die Gruppenrichtlinien-Verwaltungskonsole, suchen Sie Ihr Gruppenrichtlinienobjekt (GPO) oder erstellen Sie ein neues und navigieren Sie zu:
- Computerkonfiguration > Einstellungen > Windows-Einstellungen > Netzwerkfreigaben
Aktivieren Sie anschließend das Kontrollkästchen „Zugriffsbasierte Aufzählung“ in den Freigabeeigenschaften. Dadurch wird für alle von diesem Gruppenrichtlinienobjekt (GPO) verwalteten Freigaben die zugriffsbasierte Aufzählung aktiviert – äußerst praktisch für große Bereitstellungen und zur Gewährleistung der Konsistenz.
Verwaltung der zugriffsbasierten Aufzählung mit PowerShell
Für alle, die die Kommandozeile bevorzugen: Sie können ABE für freigegebene Ordner direkt in PowerShell aktivieren – eine echte Erleichterung bei der Automatisierung oder Fehlerbehebung. Es ist zwar ungewöhnlich, aber einfach: Verwenden Sie das Cmdlet ` Set-SmbShare` in Kombination mit `Get-SmbShare`.Hier ein kurzes Beispiel:
Get-SmbShare -Name "SharedFolder" | Set-SmbShare -FolderEnumerationMode AccessBasedDieser Befehl findet die Freigabe „SharedFolder“ und aktiviert ABE dafür. Um zu sehen, was bereits passiert, führen Sie wie üblich folgenden Befehl aus:
Get-SmbShare | Select-Object Name, FolderEnumerationModeWenn `FolderEnumerationMode` den Wert ` AccessBased` anzeigt, können Sie loslegen. Möchten Sie ihn deaktivieren? Ersetzen Sie den Wert einfach durch `Unrestricted`.
Get-SmbShare -Name "SharedFolder" | Set-SmbShare -FolderEnumerationMode UnrestrictedBei Samba-Linux-Servern können Sie nicht lesbare Ordner ausblenden, indem Sie ` hide unreadable = Yes` in Ihre ` smb.conf` -Datei einfügen und ABE mit ` access based share enum = Yes` aktivieren. Anschließend müssen Sie die Samba-Konfiguration mit „ neu laden smbcontrol all reload-configoder den Samba-Dienst neu starten, üblicherweise mit ` sudo systemctl restart smbd`.Es ist schon etwas kurios, wie manche Einstellungen auf verschiedenen Systemen funktionieren, aber so ist das eben mit der Serververwaltung.
Bei größeren Installationen können DFRS-Freigaben (DFS) mit den DFS -Verwaltungstools oder der Befehlszeile genauso behandelt werden dfsutil property abde enable \\namespace_root. Beachten Sie jedoch, dass ABE beim lokalen Durchsuchen des Servers selbst nicht aktiv ist und lokale Administratoren weiterhin alles sehen können. Das ist vermutlich beabsichtigt, aber beim Testen etwas ärgerlich. Für Netzwerkaufgaben funktioniert es nach korrekter Einrichtung jedoch recht gut.
Insgesamt erfordert die korrekte Einrichtung von ABE etwas Aufwand – Berechtigungen, Aktualisierungen, manchmal Serverneustarts. Ist es aber einmal eingerichtet, sehen die Benutzer nur die gewünschten Inhalte, was definitiv besser ist als Chaos oder versehentliche Datenlecks. Beachten Sie jedoch, dass Sie Berechtigungen möglicherweise aktualisieren oder erneut zuweisen müssen, falls die Aktualisierung nicht sofort erfolgt. Windows macht es einem manchmal etwas schwerer.