Usando ABE com DFS
Olá, Hoje vamos discutir o recurso de acesso com base em Enumeração (ABE) no Windows Server e como ele pode ser implementado com distribuídos arquivo sistema (DFS).
Primeiro, você pode perguntar: "o que é ABE, e por que eu iria querer utilizá-lo?" Por padrão, todas as pastas e arquivos vão ser listados em uma pasta, mesmo se a navegação do usuário não tem permissões para eles. Por exemplo, três usuários (Alice, Bob e Cindy) tem pastas sob um compartilhamento no servidor de arquivo 'FS1'.
Pasta de cada usuário tem permissões tal que somente o usuário único tem acesso (saída de icacls.exe abaixo):
\fs1\share\Alice F CONTOSO\Alice:(Oi) (CI)
\fs1\share\Bob R CONTOSO\bob:(Oi) (CI)
\fs1\share\Cindy CONTOSO\Cindy:(OI)(CI)R
O seguinte é que usuário "Bob" observa quando navegando a caminho UNC \fs1\share:
http://blogs.technet.com/cfs-file.ashx/__key/CommunityServer-Blogs-Components-WeblogFiles/00-00-00-58-02-metablogapi/2870.image_5F00_thumb_5F00_1D881980.png
Se um usuário tentar abrir a pasta ou arquivo dentro dessa pasta de outro usuário, eles serão recebidos com um erro que não têm permissões suficientes. Os administradores podem não desejo esta experiência do usuário, como pode gerar chamadas ao Help Desk ou confundir os usuários.
ABE é um recurso do Windows Server que faz com que o servidor exibir somente os arquivos e pastas que um usuário tenha permissões para acessar. Depois que ABE é habilitado no compartilhamento mencionado acima, os usuários visualizarão apenas aquelas pastas para os quais eles têm acesso. Abaixo está a vista de Bob do conteúdo do compartilhamento, agora com ABE ativado:
http://blogs.technet.com/cfs-file.ashx/__key/CommunityServer-Blogs-Components-WeblogFiles/00-00-00-58-02-metablogapi/7167.image_5F00_thumb_5F00_64CD49A5.png
ABE está habilitado para compartilhamentos DFS não através do snap-in "Compartilhamento e gerenciamento de armazenamento". Você pode estar se perguntando se este recurso pode ser utilizado por Namespaces DFS também. Sim pode!
ABE em DFSN amadureceu-se consideravelmente desde sua implementação original no Windows Server 2003. Naquela época, você tinha que instalar um componente separado Add-on para expor a interface do usuário necessário para configurar ABE em uma pasta compartilhada. Então, você tinha que seguir KB artigo 907458 a fim de torná-lo funcional dentro de um namespace DFS. Outras complicações surgiram de ter que utilizar o cacls.exe em cada servidor de namespace para definir permissões de ligação e ter que repetir a operação deve o namespace ser modificado de várias maneiras. Para dizer o mínimo, houve sobrecarga significativa de gerenciamento.
Felizmente, Windows Server 2008 e 2008 R2 suporta ABE em DFSN nativamente. Pode ser utilizada em um namespace baseado em domínio ou standalone, tal que os usuários visualizarão apenas ***DFSN ***pastas para os quais tenham as permissões. Nota: ABE requer o namespace para estar no "Modo Windows Server 2008". Se você tem espaços para nome existentes que estão no "Modo Windows 2000 Server" (exibir as propriedades de um namespace, o snap-in Gerenciamento DFS), você precisará convertê-los em modo de 2008. Para fazer isso, por favor, siga as informações disponíveis aqui.
Como exemplo, o namespace "ns1" foi criado e contém pastas DFSN para as pastas de três usuário discutidas anteriormente.
http://blogs.technet.com/cfs-file.ashx/__key/CommunityServer-Blogs-Components-WeblogFiles/00-00-00-58-02-metablogapi/3060.image_5F00_thumb_5F00_1EAC66C5.png
A pasta DFSN "Bob" é configurada com o alvo de \fs1\share\bob, como visto abaixo:
http://blogs.technet.com/cfs-file.ashx/__key/CommunityServer-Blogs-Components-WeblogFiles/00-00-00-58-02-metablogapi/3343.image_5F00_thumb_5F00_6AD44AA6.png
Por padrão, ABE não está habilitado no namespace, e os usuários são capazes de ver todas as pastas DFS dentro dele.Quando Bob navega o namespace através do caminho \contoso.com\ns1, ele vai ver as três pastas DFS definidas acima: Alice, Bob e Cindy. Habilitando ABE no namespace, serviço de todos os servidores de namespace DFSN automaticamente permitir ABE na sua quota de namespace local e aplicar as permissões configuradas de nova análise pastas automaticamente. Você não vai ser sobrecarregado com ter que executar cacls.exe manualmente em cada servidor de namespace.
Os comandos utilizados para habilitar ABE e definir as permissões necessárias são as seguintes:
Dfsutil Propriedade abde permitir \contoso.com\ns1
Dfsutil Propriedade acl conceder \contoso.com\ns1\alice contoso\alice:F proteger
DFSUtil Propriedade acl grant \contoso.com\ns1\bob Contoso\Bob:F proteger
DFSUtil Propriedade acl grant \contoso.com\ns1\cindy contoso\cindy:F proteger
Nota: O parâmetro 'proteger' é importante porque as pastas de nova análise abaixo da pasta compartilhada do namespace irão herdar permissões por padrão e normalmente não restringe o acesso às pastas DFSN. Além disso, o parâmetro "abde" foi mudado para "abe" em 2008 R2 e Windows 7 versão de dfsutil.
Com um cliente do Windows 7 ou um servidor 2008 R2 executando o RSAT, permitindo ABE e configurando permissões podem ser efectuados directamente através do MMC de Gerenciamento DFS. Basta abrir as propriedades de uma determinada pasta DFS no namespace e clique na guia 'avançado':
http://blogs.technet.com/cfs-file.ashx/__key/CommunityServer-Blogs-Components-WeblogFiles/00-00-00-58-02-metablogapi/6505.image_5F00_thumb_5F00_3E1B6B00.png
Bob teria a seguinte exibição do namespace "NS1" depois que ABE é habilitado e permissões apropriadas são definidas:
http://blogs.technet.com/cfs-file.ashx/__key/CommunityServer-Blogs-Components-WeblogFiles/00-00-00-58-02-metablogapi/3264.bob_2D00_view_2D00_with_2D00_ABE_2D00_of_2D00_contoso_2D00_ns1_5F00_thumb_5F00_5E62CB88.png
No final, as permissões configuradas dentro do namespace acabam em última análise, nova análise especial pastas encontradas no compartilhamento do servidor de namespace. É a enumeração dessas pastas de nova análise que determina se uma pasta DFSN é observável por um usuário, enquanto eles navegam por meio do namespace.
Uma observação final: alguns administradores DFSN podem desejar alavancar ABE com uma mistura de Windows Server 2003 R2 e Windows Server 2008/2008 R2 servidores de namespace usando o processo detalhados na KB 907458. Embora possível, primeiro, você deve implantar um hotfix para qualquer Windows Server 2008 SP2 ou 2008 R2 RTM/SP1 servidores de namespace para evitar a perda do modificado de nova análise permissões de pasta. Detalhes sobre a atualização estão disponíveis em KB 2464365.
Espero que a informação é útil como você considerar a implementação de ABE em um namespace DFS. Feliz DFSN'ing!
Créditos
Este artigo foi traduzido do original no Blog TechNet - "Ask the Directory Services Team": Using ABE with DFS (en-US) criado por NedPyle [MSFT]