Header-Leuchtturm-b

Telefon  +49 6126 710 796 0

Access Based Enumeration Traverse Folder Service

Die Access Based Enumeration von Microsoft gibt es bereits seit Windows Server 2003 SP1. Während diese sehr interessante Technologie bei Windows Server 2003 noch nachinstalliert werden musste, ist es im Betriebssystem ab Windows Server 2008 enthalten  - muss aber aktiviert werden.

Um Anwendern vereinzelte "tiefer liegende" Ordner zu berechtigen, ohne den ganzen Pfad sichtbar zu machen, gibt es das Traverse Folder Recht.

Zusammen mit ABE und dem Traverse Folder Service von FirstAttribute kann eine einfach verwaltbare und intuitive Berechtigungsstruktur aufgebaut werden.

 

Access Based Enumeration (ABE)

Mittels ABE werden Ordner und Dateien für Benutzer ausgeblendet für die sie nicht die erforderlichen Zugriffsberechtigungen besitzen. Das bietet einmal einen höheren Komfort durch eine gesteigerte Übersichtlichkeit der Verzeichnisbäume für den Nutzer. Darüber hinaus erhöht es auch die Sicherheit. Es werden keine Ordner angezeigt, wenn der Anwender keine Leseberechtigung für diese hat. Damit kann er auch nicht über den Ordnernamen Rückschlüsse auf deren Inhalt ziehen.

Bei aktivierter ABE ermittelt der File Server bei einem File System Zugriff anhand des Security Tokens des Benutzers und der Access Control List (ACL) der einzelnen File System Objekte ob der Benutzer den Ordner oder die Datei sehen darf oder nicht. Daher bezieht sich die ABE ausschließlich auf die NTFS Berechtigungen.

Neben dem File System kann die ABE auch für Freigaben und das DFS aktiviert werden. Damit kann eine durchgängige Sicht über alle File Ressourcen im Unternehmen aufgebaut werden.

 

Traverse Folder

Im NTFS ist es möglich, einem Benutzer in einer Ordner-Struktur auf ein tieferliegendes Verzeichnis Berechtigungen zu erteilen, obwohl er auf den darüberliegenden Ordnern keine Rechte besitzt. Der Benutzer kann das Verzeichnis dann direkt mit dem vollen Pfadnamen ansprechen, er hat aber keine Möglichkeit sich durch die Baumstruktur bis zu diesem Verzeichnis durchzuhangeln. Damit auch das möglich ist, muss für den Benutzer auf den darüberliegenden Ordner das Traverse Folder Recht vergeben werden. Um diese Berechtigungen zu pflegen muss man üblicherweise bei einer Berechtigungsänderung alle oberen Berechtigungen prüfen und gegebenenfalls anpassen. Dies führt allerdings zu einem erheblichen manuellen Aufwand.

 

Traverse Folder Service

Die FirstAttribute bietet einen Traverse Folder Service mit dem einzelne Freigaben wie auch ganze DFS Strukturen hinsichtlich der Berechtigungsvergabe überwacht werden können. Dieser Service kann eine initiale Traverse Folder Berechtigungsstruktur in bestehenden Verzeichnissen aufbauen. Danach läuft er im Monitor Mode. Dabei werden im Fall von Rechteänderungen automatisiert die Traverse Folder Berechtigungen angepasst..

Für jede Verzeichnisebene wird automatisiert eine Traverse Folder Gruppe erstellt und berechtigt und der Benutzer wird in die direkt über seine Berechtigung liegende Gruppe aufgenommen. Ebenso wird der Benutzer bei Rechteentzug wieder aus der Gruppe entfernt. Dieser Automatismus bezieht auch das DFS mit ein.

Durch diesen Service kann die ABE immer die richtige Verzeichnisstruktur für den jeweiligen Benutzer anzeigen. Ein sehr großer Vorteil ist außerdem die erhebliche Vereinfachung der Rechte-Vergabe da der Benutzer bzw. seine Rolle nur intuitiv auf die Ordner berechtigt werden muss auf die er auch Zugriff erlangen soll.

Die FirstAttribute unterstützt sie natürlich auch bei der Erstellung eines passenden Rechte und Rollen-Konzeptes sowie dem Aufbau der DFS-Strukur.

Wenn Sie weitere Informationen wünschen, können Sie uns gern Ihre Anfrage per Email senden.

©2016 FirstAttribute AG - Alle Rechte vorbehalten.

Realisierung Site Point GmbH

Impressum