基于访问的枚举 (ABE) 是如何工作的？

适用于

• ONTAP 9
• Data ONTAP 8 7-Mode

问题解答

• 在 CIFS 共享上启用基于访问的枚举 (ABE) 时，没有访问其下方文件夹或文件的权限的用户不会在其环境中看到这些内容。
  • 文件和文件夹的实际权限不会更改，只有可见性会更改。
  • ABE 不会隐藏共享本身，它只会根据访问权限隐藏在其下创建的文件夹/文件。
  • 如果用户或自动化系统依赖于所有文件和文件夹的可见性进行索引或管理，ABE 可能会中断这些操作。

注意： 每个 SVM 没有全局选项，如果需要，每个共享必须在其上启用 ABE

• 本地管理员仍有不受限制的枚举
  • BUILTIN\Administrators 组的成员被授予对本地系统的无限制访问权限
  • 因此，此组中的帐户将能够枚举整个目录
• 默认情况下，ABE 处于禁用状态
• 启用 ABE
  • 适用于 Data ONTAP 8 7-Mode

cifs shares -change sharename -accessbasedenum

• 适用于 ONTAP 9

::> cifs share properties add -vserver <vserver> -share-name <share> -share-properties access-based-enumeration

• 禁用 ABE
  • 适用于 Data ONTAP 8 7-Mode

cifs shares -change sharename -noaccessbasedenum

• 适用于 ONTAP 9

::> cifs share properties remove -vserver <vserver> -share-name <share> -share-properties access-based-enumeration

追加信息

• 如果使用 accessbasedenum 选项创建 CIFS 共享 TEST

共享 \FILERTEST 已与用户 DOMAINuserA 映射

已创建名为PROVA的文件夹，权限为Owner/ Full Control，用于DOMAINuserA。

• 其他用户（如 DOMAINuserB）可以查看共享 TEST，但不会看到共享下的文件夹 PROVA \FILERTEST。这是预期的行为。
• 有一些选项可以隐藏 CIFS 共享 TEST，例如：

使用 -nobrowse 选项禁用 CIFS 共享浏览

创建共享并将 $ 符号附加到名称末尾。

• 从 ONTAP 9.9.1 开始，引入了一个 CIFS 选项，根据共享级别权限枚举共享
  • -is-share-enum-permission-check-enabled (权限：高级)  
  • 如果此参数设置为 true，NetShareEnum 调用只会返回用户有权限访问的共享。默认值为 false ，这意味着它会返回所有共享。
• 在 SMB 共享上启用或禁用基于访问权限的枚举（ONTAP 9+）
• 通过基于访问权限的枚举为共享提供文件夹安全性（Clustered ONTAP 8.3.1）
• Data ONTAP 7.3 文件访问和协议
• na_cifs_shares 手册页
• 通过基于访问权限的枚举为共享提供文件夹安全性概述（netapp.com/cn）
• 无需客户端重新连接即可查看 ABE 的影响，在下一个查询目录中，如果启用了 ABE，则不会再返回用户无权访问的文件\文件夹。
• 如果用户是本地管理员（在 SVM 上）的成员，则他们将能够看到共享。