none
Enumeração baseada em acesso não funciona RRS feed

  • Pergunta

  • Bom dia.

    Tentei de diversas maneiras habilitar esse recurso no Windows Server 2012 STD e não funciona. Em Gerenciador do Servidor \ Serviços de Arquivo e Armazenamento \ Compartilhamentos \ nome_da_pasta (Propriedades)

    Em Configurações, habilito a opção: Habilitar enumeração baseada em acesso

    Vou em um usuário que não esteja com permissões, digito o \\IP e ele lista o diretório e quando acesso diz: Você não tem permissão ... (o que significa que as permissões NTFS estão corretas e que a pasta deveria não ser listada para este user)

    O que pode ser? é um recurso de extrema utilidade, porém não funciona. Vi outros tópicos dentro da comunidade com este problema e pessoas tiveram o mesmo problema que eu, não conseguiram habilitar.

    Obrigado!

    Obs: O DFS Namespaces e o DFS Replication precisam estar instalados no servidor?
    sexta-feira, 22 de fevereiro de 2019 10:15

Respostas

  • Bom dia.

    Tentei de diversas maneiras habilitar esse recurso no Windows Server 2012 STD e não funciona. Em Gerenciador do Servidor \ Serviços de Arquivo e Armazenamento \ Compartilhamentos \ nome_da_pasta (Propriedades)

    Em Configurações, habilito a opção: Habilitar enumeração baseada em acesso

    Vou em um usuário que não esteja com permissões, digito o \\IP e ele lista o diretório e quando acesso diz: Você não tem permissão ... (o que significa que as permissões NTFS estão corretas e que a pasta deveria não ser listada para este user)

    O que pode ser? é um recurso de extrema utilidade, porém não funciona. Vi outros tópicos dentro da comunidade com este problema e pessoas tiveram o mesmo problema que eu, não conseguiram habilitar.

    Obrigado!

    Obs: O DFS Namespaces e o DFS Replication precisam estar instalados no servidor?

    Thiago,

    O Access-Based Enumeration é aplicado no diretório raiz de acesso e as permissões definidas nos subdiretórios que o SO enumera para apresentar ou não as pastas e/ou arquivos conforma as permissões do mesmo.

    Exemplo: D:\Pasta , compartilhamento \\servidor\pasta (você habilita a enumeração de acesso neste diretório)

    Permissão Share: Authenticated Users (Change)

    Permissão NTFS: SYSTEM (Full), Administrators (Full), Users (Read & Execute)

    \\servidor\pasta

                      |_ pasta1 (quebrar herança) - D:\Pasta\Pasta1

    Permissão NTFS: SYSTEM (Full), Administrators (Full), GRUPO_DE_ACESSO_LEITURA(Read & Execute), GRUPO_DE_ACESSO_ESCRITA(WRITE OU MODIFY).

    Ao acessar pela rede \\servidor\pasta o(s) usuário(s) que não estão nos grupos de acesso com permissão NTFS da pasta1 não visualizarão o diretório pasta1 e quem for membro dos grupos conseguirá.

    Obs: O DFS Namespaces e o DFS Replication precisam estar instalados no servidor? Não


    "Se eu tivesse oito horas para derrubar uma árvore passaria seis afiando meu machado". Abraham Lincoln

    • Sugerido como Resposta IgorFKModerator terça-feira, 26 de fevereiro de 2019 12:55
    • Marcado como Resposta Thiago Corrêa quinta-feira, 28 de fevereiro de 2019 10:26
    segunda-feira, 25 de fevereiro de 2019 23:57
    Moderador

Todas as Respostas

  • Boa tarde Thiago Corrêa

    Veja se da certo realizando esse procedimento: 

    Documento Habiltar a enumeração baseada em acesso em um Namespace: 

    https://docs.microsoft.com/pt-br/windows-server/storage/dfs-namespaces/enable-access-based-enumeration-on-a-namespace

    Att, 

    sexta-feira, 22 de fevereiro de 2019 17:56
  • Olá caro @Thiago Corrêa, tudo bem!

    Importante entender a aplicabilidade dessa feature, está é somente para usuários ou grupos que não tem acesso via: Share ou Ntfs, conforme imagem abaixo.

    Esse recurso é para esconder quem não tem acesso.

    Desta forma, para resolver completamente é necessário ir em suas permissões e retirar quem não tem acesso, irá resolver o seu problema.

    https://docs.microsoft.com/pt-br/windows-server/storage/dfs-namespaces/enable-access-based-enumeration-on-a-namespace

    Abraços FOL!

    • Sugerido como Resposta FÁBIOFOL segunda-feira, 25 de fevereiro de 2019 21:53
    segunda-feira, 25 de fevereiro de 2019 21:53
  • Bom dia.

    Tentei de diversas maneiras habilitar esse recurso no Windows Server 2012 STD e não funciona. Em Gerenciador do Servidor \ Serviços de Arquivo e Armazenamento \ Compartilhamentos \ nome_da_pasta (Propriedades)

    Em Configurações, habilito a opção: Habilitar enumeração baseada em acesso

    Vou em um usuário que não esteja com permissões, digito o \\IP e ele lista o diretório e quando acesso diz: Você não tem permissão ... (o que significa que as permissões NTFS estão corretas e que a pasta deveria não ser listada para este user)

    O que pode ser? é um recurso de extrema utilidade, porém não funciona. Vi outros tópicos dentro da comunidade com este problema e pessoas tiveram o mesmo problema que eu, não conseguiram habilitar.

    Obrigado!

    Obs: O DFS Namespaces e o DFS Replication precisam estar instalados no servidor?

    Thiago,

    O Access-Based Enumeration é aplicado no diretório raiz de acesso e as permissões definidas nos subdiretórios que o SO enumera para apresentar ou não as pastas e/ou arquivos conforma as permissões do mesmo.

    Exemplo: D:\Pasta , compartilhamento \\servidor\pasta (você habilita a enumeração de acesso neste diretório)

    Permissão Share: Authenticated Users (Change)

    Permissão NTFS: SYSTEM (Full), Administrators (Full), Users (Read & Execute)

    \\servidor\pasta

                      |_ pasta1 (quebrar herança) - D:\Pasta\Pasta1

    Permissão NTFS: SYSTEM (Full), Administrators (Full), GRUPO_DE_ACESSO_LEITURA(Read & Execute), GRUPO_DE_ACESSO_ESCRITA(WRITE OU MODIFY).

    Ao acessar pela rede \\servidor\pasta o(s) usuário(s) que não estão nos grupos de acesso com permissão NTFS da pasta1 não visualizarão o diretório pasta1 e quem for membro dos grupos conseguirá.

    Obs: O DFS Namespaces e o DFS Replication precisam estar instalados no servidor? Não


    "Se eu tivesse oito horas para derrubar uma árvore passaria seis afiando meu machado". Abraham Lincoln

    • Sugerido como Resposta IgorFKModerator terça-feira, 26 de fevereiro de 2019 12:55
    • Marcado como Resposta Thiago Corrêa quinta-feira, 28 de fevereiro de 2019 10:26
    segunda-feira, 25 de fevereiro de 2019 23:57
    Moderador
  • Obrigado por todas as ajudas neste tópico.

    Vamos lá ... vou dar um dos exemplos que eu tenho das pastas.

    Permissão Share: Authenticated Users (Change)
    eu fui bem objetivo neste caso, compartilhei somente com 3 usuários.

    Permissão NTFS: SYSTEM (Full), Administrators (Full), Users (Read & Execute)
    Neste caso também só referenciei os 3 usuários.

    opção enumeração baseada em acesso habilitada em todas as pastas de compartilhamento. Precisa estar com permissão share para authenticated users e em NTFS preciso da acesso a SYSTEM?

    terça-feira, 26 de fevereiro de 2019 13:56
  • Olá caro @Thiago Corrêa, tudo bem!

    Importante entender a aplicabilidade dessa feature, está é somente para usuários ou grupos que não tem acesso via: Share ou Ntfs, conforme imagem abaixo.

    Esse recurso é para esconder quem não tem acesso.

    Desta forma, para resolver completamente é necessário ir em suas permissões e retirar quem não tem acesso, irá resolver o seu problema.

    https://docs.microsoft.com/pt-br/windows-server/storage/dfs-namespaces/enable-access-based-enumeration-on-a-namespace

    Abraços FOL!

    Tudo ótimo e com você? justamente ... se eu referenciar essas pastas a somente 3 usuários por exemplo, entendo que para os demais, não irão aparecer. Certo?

    A questão é: esses usuários tanto não tem permissão que eles conseguem listar os diretórios no servidor mas quando acessam da a mensagem de: Acesso negado. (O que significa que ele não tem permissão de acesso)

    Mesmo assim o diretório é listado.


    terça-feira, 26 de fevereiro de 2019 14:02
  • Segue o exemplo feito na prática. 
    Detalhe: o usuário teste é um usuário comum. Neste teste de acesso, não consegui acessar nem a partir de um domain admin, o que significa que realmente outros usuários não tem acesso.

    Permissão share: somente para usuário teste.
    Permissão NTFS: somente usuário teste.

    terça-feira, 26 de fevereiro de 2019 14:22
  • Pessoal, descobri o problema.

    Precisa de uma pasta PAI para fazer a aplicação. Por exemplo, o meu cenário era:

    D:\pasta_a_ser_ocultada

    Agora eu coloquei uma pasta PAI e funcionou:

    D:\pastapai\pasta_a_ser_ocultada

    Obrigado a todos.

    Só um detalhe, no compartilhamento, quando aparecia a pasta na área de share do servidor, existe a proteção da não exclusão das pastas. Como essa pasta não é compartilhada e quando damos acesso por exemplo FULL dentro da pasta, o usuário pode excluir até acidentalmente essa pasta na rede.

    Como  bloquear isso?

    quarta-feira, 27 de fevereiro de 2019 10:07
  • Pessoal, descobri o problema.

    Precisa de uma pasta PAI para fazer a aplicação. Por exemplo, o meu cenário era:

    D:\pasta_a_ser_ocultada

    Agora eu coloquei uma pasta PAI e funcionou:

    D:\pastapai\pasta_a_ser_ocultada

    Obrigado a todos.

    Só um detalhe, no compartilhamento, quando aparecia a pasta na área de share do servidor, existe a proteção da não exclusão das pastas. Como essa pasta não é compartilhada e quando damos acesso por exemplo FULL dentro da pasta, o usuário pode excluir até acidentalmente essa pasta na rede.

    Como  bloquear isso?

    Thiago,

    Foi exatamente isso que te falei no post anterior:

    "O Access-Based Enumeration é aplicado no diretório raiz de acesso e as permissões definidas nos subdiretórios que o SO enumera para apresentar ou não as pastas e/ou arquivos conforme as permissões do mesmo."

    Com relação a sua segunda dúvida, você deve abrir as configurações avançadas de permissões NTFS, escolher ou adicionar o grupo, definir as permissões e na opção "Aplicar em" definir a opção que lhe atende.


    "Se eu tivesse oito horas para derrubar uma árvore passaria seis afiando meu machado". Abraham Lincoln



    quarta-feira, 27 de fevereiro de 2019 11:53
    Moderador
  • Obrigado a todos. A dúvida principal foi sanada. Vou trabalhar a questão das permissões para não permitir a exclusão da pasta.

    Valeu!

    quinta-feira, 28 de fevereiro de 2019 10:26