探讨Windows Server 2003 ABE(基于枚举访问)特性

为什么用户明明没有显式的访问许可，却仍然可以看见某些特定文件夹？本文可以告诉你如何使用Windows Server 2003的ABE把无意的偷窥拒之门外。

从一开始，Windows系统就有一些特性着实令人迷惑，甚至让人抓破头皮也想不出个所以然。举个例子来说，你是不是经常遇到用户问为什么打不开某个特殊的共享文件夹，而你又不得不给他们答复？可结果却发现这些用户根本没有进入文件夹浏览的适当权限，但系统却仍然让他获悉这个文件夹存在的事实。就理论上而言，如果用户没有访问文件夹的权限，他就应该看不到那个实际存在文件夹。

这不仅让用户们困扰不已（当然同时也让可怜的帮助服务台不得不成为种种潜在抱怨的炮场），用户们可以看到本属禁止范围内的信息的事实也呈现了值得关注的安全问题。

这种背景之下，ABE应运而生。Windows Server 2003 SP1/R2自带ABE，不管是对于整台服务器还是基于各个共享目录，它都允许你限制用户无孔不入的视力所及。简而言之，用户只能看到他们被假设应该看到的东西。

你的所有朋友都在这样行动……

如果在这一点上，你在想，“是时间了，”那你绝非孤身一人。访问限制是很多其它操作系统的共有特性，这个事实在微软创建该特性时起了部分作用。据微软说，创造出ABE，主要解决下列问题：

提高安全性。不管如何，用户可无法对他们看不到的东西产生质疑。

使帮助服务台不再伤神费力。使较低技术层面的用户更方便找到和访问他们的文件和文件夹。

简化移植。在其它操作系统下的用户都习惯于只看到你允许访问的东西。ABE把类同的访问控制引入到了Windows中。

ABE的基本功能性Windows Server 2003 SP1 和 R2都已经自带了；然而，为了使用这项特性你需要下载一个安装程序包，它会在文件夹属性对话框中增加一个选项卡，方便你管理ABE。共有三种安装程序包可以下载，分别针对不同的操作平台。特别的，微软除了提供一般的32位的版本，对于AMD/x64 和 IA64 (钛金)版的Windows，还提供了64位版本。

激活ABE管理时，首先要下载适合你的服务器的安装程序并运行它。在安装过程中，ABE激活器会询问你是否你要在整台服务器范围内还是基于各个文件夹激活ABE。至于我的服务器，为了更好的控制，我是基于各个文件夹激活了这项特性。然而，对于某个特定文件夹，你也可以有选择地禁止这项特性。

一旦安装完毕，你访问你的一个共享文件夹并打开其属性页面。应该可以看到一个叫做“基于访问的枚举”的选项卡。选项卡上有两个选择框：对于该共享文件夹激活基于访问的枚举；和把这个文件夹的设置应用到计算机上存在的所有共享文件夹。这些选择项和它们的用法不言自明。

总结

你实施ABE之后，用户如果没有显式的允许声明，将看不到对应的资源。