La opción que un usuario no pueda ver las carpetas compartidas sobre las cuales no tiene permiso de lectura, es algo que lo he visto solicitado muchas veces, y es muy fácil de conseguir, el tema es que no es tan fácil de encontrar dónde se configura
¿Será porque hay tantas formas de crear y configurar carpetas compartidas?, y además cada una configura de diferente manera los permisos. Hay por lo menos siete formas diferentes de compartir carpetas:
- Explorador de Archivos: Compartir / Compartir
- Explorador de Archivos: Compartir / Uso Compartido Avanzado
- Explorador de Archivos: Compartir con / Usuarios Específicos
- Administración de Equipos
- Administrador del Servidor
- CMD: NET SHARE
- PowerShell: New-SMBShare
En esta nota mostraré una de las opciones que permite activar ABE, no es la única, pero no todas muestran la opción
Utilizaré tres máquinas virtuales del ambiente que normalmente utilizo en el blog:
- DC1.ad.guillermod.com.ar: Controlador de Dominio
- SRV1.ad.guillermod.com.ar: Servidor miembro del Dominio
- CL1.ad.guillermod.com.ar: Cliente del Dominio (W81)
Para poder demostrar creé dos usuarios de prueba en el Dominio: “User Uno” (u1@ad.guillermod.com.ar) y “User Dos” (u2@guillermod.com.ar)
Comenzaré en SRV1 donde debemos instalar, si no lo estuviera, la funcionalidad “File Server” en la forma habitual. No muestro todas las pantallas del asistente ya que entiendo que nadie tendrá dificultad con esto
Y utilizando “Server Manager” procederé a la creación de una nueva carpeta compartida, siguiendo el asistente como muestran las siguientes capturas
Le damos un nombre
Y acá está la configuración buscada, debemos marcar la opción “Enable access-based enumeration”
No modificaré para este caso los permisos de la carpeta compartida, pero observen que por omisión, todos los usuarios (“BUILTIN\Users”) tienen permisos de lectura y creación de archivos y carpetas
Dentro de esta carpeta compartida crearé dos carpetas, dándole un nombre significativo para poder demostrar la funcionalidad más fácilmente
Y finalmente cambio los permisos en ambas carpetas, de forma tal que la carpeta “SoloU1” tenga permisos sólo “Usuario Uno”, y análogamente que “SoloU2” tenga permisos sólo “Usuario Dos”. No muestro todas las capturas de pantalla de cómo llegar al resultado porque entiendo que no tendrán problemas, muestro sólo cómo quedan los permisos en cada carpeta, aunque noten que se ha quitado la herencia de permisos
Iniciando sesión en CL1 con “User Uno” podemos ver que sólo puede ver su carpeta asignada, y no la otra
Y análogamente si hacemos lo mismo con “User Dos”
Como hemos visto, esto es sólo una pequeña demostración de la funcionalidad, y que puede agregar un poco más de seguridad a la información, y además evitar confusiones en usuarios inexpertos
WindowServer 
Comentarios
Hola, buen día!
Como haría para que no se muestre la carpeta compartida superior, por ejemplo creo otra carpeta compartida TestABE-2 (con ABE claro) en la cual tengo la carpeta «SoloU3» que sólo tienen permiso para User Tres (u3@ad.guillermod.com.ar), entonces cuando desde el cliente como u1 o u2 ingreso a \\SRV1 quiero que sólo me muestre TestABE, porque me muestra TestABE y también TestABE-2 aunque claro cuando ingreso a TestABE-2 no me muestra nada, pero me gustaría que no mostrara TestABE-2.
Cuando hice la nota estuve justamente tratando de lograr eso, y más, suponía que trabajaba así, pero no pude lograrlo
El ABE trabaja sobre las subcarpetas
Si lo logras avisa :)