Hoe schakel ik op toegang gebaseerde enumeratie (ABE) in voor gedeelde mappen (SMB)?

Op toegang gebaseerde enumeratie (ABE) is een van die Windows-opties voor gedeelde mappen die vrij eenvoudig klinkt, maar in de praktijk best lastig kan zijn. Kort gezegd verbergt het bestanden en mappen die gebruikers niet mogen zien – erg handig als je de boel overzichtelijk wilt houden of de toegang wilt beperken zonder constant de machtigingen te hoeven aanpassen. Als je ooit hebt gemerkt dat bepaalde mappen verdwijnen voor sommige gebruikers tijdens het bladeren door een netwerkshare, is ABE waarschijnlijk de boosdoener. Het is een slimme manier om de mappenstructuur en bestandsnamen te verbergen, maar de juiste configuratie is niet altijd even duidelijk. Deze handleiding beschrijft hoe je ABE op de juiste manier inschakelt, zowel via de grafische interface als via de opdrachtregel, zodat je ervoor kunt zorgen dat gebruikers alleen zien wat ze mogen zien.

Eenmaal correct geconfigureerd, kan het inschakelen van ABE een wereld van verschil maken, vooral in drukke omgevingen met veel gedeelde mappen. In plaats van een rommelige lijst zien gebruikers alleen wat ze horen te zien. Houd er wel rekening mee dat dit geen toverkunst is: lokale beheerders behouden volledige toegang en soms is het nodig om de weergave te vernieuwen of de instellingen opnieuw toe te passen, omdat Windows soms eigenwijs is als het gaat om het direct bijwerken van machtigingen. Hoe dan ook, hier lees je hoe je het werkend krijgt.

Hoe u op toegang gebaseerde enumeratie in Windows Server en werkstations kunt herstellen of inschakelen

Op Windows Server gebruikmaken van op Access gebaseerde enumeratie.

Stel, u hebt een gedeelde map op een Windows-server, bijvoorbeeld ` \\FileServer\Shared`, met verschillende submappen voor verschillende afdelingen. Standaard zien alle gebruikers mogelijk de volledige mappenstructuur, wat niet ideaal is als u bepaalde mappen voor specifieke groepen wilt verbergen. Om dit op te lossen, moet u ABE (Automatic Behavior Encryption) inschakelen voor de gedeelde map. Het is misschien wat vreemd, maar het gebeurt via Server Manager. Zo doet u dat:

  • Open Server Manager
  • Ga naar Bestands- en opslagservices
  • Selecteer aandelen
  • Klik met de rechtermuisknop op uw gedeelde map en kies Eigenschappen.
  • Ga naar het tabblad Instellingen.
  • Schakel toeganggebaseerde enumeratie in.

Nadat je deze functie hebt ingeschakeld, klik je op Toepassen en vernieuw je de gedeelde map in Verkenner ( F5) om de wijziging te zien. Normaal gesproken wordt de mapweergave vrij snel bijgewerkt, maar soms helpt een herstart van de server of het opnieuw delen van de map als dit niet het geval is. In sommige configuraties kan dit onvoorspelbaar werken, dus test het met een gebruikersaccount dat alleen bepaalde mappen zou moeten zien. Als het goed werkt, zien gebruikers alleen de mappen waartoe ze toegang hebben – ze hoeven niet meer eindeloos te scrollen.

En als u veel gedeelde mappen binnen een domein beheert, kunt u dit uitrollen met Groepsbeleid. Ga naar de Groepsbeleidsbeheerconsole, zoek uw GPO of maak een nieuwe aan en navigeer naar:

  • Computerconfiguratie > Voorkeuren > Windows-instellingen > Netwerkshares

Schakel vervolgens het selectievakje ‘ Op toegang gebaseerde enumeratie’ in bij de eigenschappen van de share. Op deze manier is ABE ingeschakeld voor alle shares die onder dat groepsbeleidsobject vallen. Dit is erg handig voor grootschalige implementaties en om consistentie te garanderen.

Toegangsgebaseerde enumeratie beheren vanuit PowerShell

Voor degenen die liever via de commandoregel werken, is het nu mogelijk om ABE (Automatic Behavior Encrypt) voor gedeelde mappen rechtstreeks vanuit PowerShell in of uit te schakelen. Dit is een echte uitkomst bij het automatiseren of oplossen van problemen. Het is vreemd, maar eenvoudig: gebruik de cmdlet ` Set-SmbShare` in combinatie met `Get-SmbShare`.Hier is een kort voorbeeld:

Get-SmbShare -Name "SharedFolder" | Set-SmbShare -FolderEnumerationMode AccessBased

Met dit commando wordt de gedeelde map met de naam “SharedFolder” gevonden en ABE ervoor ingeschakeld. Zoals gebruikelijk kunt u, als u wilt zien wat er al gebeurt, het volgende commando uitvoeren:

Get-SmbShare | Select-Object Name, FolderEnumerationMode

Als `FolderEnumerationMode` ` AccessBased` aangeeft, is alles in orde. Wilt u het uitschakelen? Vervang de waarde dan door `Unrestricted`:

Get-SmbShare -Name "SharedFolder" | Set-SmbShare -FolderEnumerationMode Unrestricted

Voor Samba Linux-servers kun je onleesbare mappen verbergen door ` hide unreadable = Yes` toe te voegen aan je ` smb.conf` -bestand en ABE in te schakelen met ` access based share enum = Yes`. Je hoeft alleen de Samba-configuratie opnieuw te laden met ` smbcontrol all reload-config` of de Samba-service opnieuw te starten, meestal met ` sudo systemctl restart smbd`.Het is best grappig hoe sommige instellingen op verschillende systemen werken, maar ja, dat hoort nu eenmaal bij serverbeheer.

En als je dit in een grote implementatie doet, kunnen DFRS-shares (DFS-shares) op dezelfde manier worden behandeld met de ` DFS Management` -tools of via de opdrachtregel: ` dfsutil property abde enable \\namespace_root`.Houd er wel rekening mee dat ABE niet actief is bij lokaal browsen op de server zelf, en dat lokale beheerders nog steeds alles zien. Dat is waarschijnlijk opzettelijk, maar wel vervelend als je aan het testen bent. Voor de netwerkfunctionaliteit werkt het echter prima als het eenmaal goed is ingesteld.

Over het algemeen vergt het correct instellen van ABE wat gepriegel: machtigingen, vernieuwingen en soms zelfs serverherstarts. Maar zodra het is ingesteld, zien gebruikers alleen wat ze horen te zien, wat absoluut beter is dan chaos of onbedoelde datalekken. Houd er wel rekening mee dat u mogelijk de machtigingen moet vernieuwen of opnieuw moet instellen als de updates niet direct zichtbaar zijn. Windows maakt het je soms wel erg moeilijk.