Cómo habilitar la enumeración basada en acceso (ABE), esta opción ocultará las carpetas compartidas a las que los usuarios no tengan acceso, para que sólo vean las que pueden leer (o leer y escribir). Explicamos cómo establecer los permisos de sistema a la carpeta compartida y a las subcarpetas para los usuarios/grupos. Realizamos el proceso en Windows Server 2022 (válido para Windows Server 2012, 2016, 2019).
- ¿Qué es la enumeración basada en acceso ABE?.
- Cómo habilitar la enumeración basada en acceso en Windows Server 2022 (2012, 2016, 2019).
- Permisos en carpeta compartida raíz y subcarpetas.
¿Qué es la enumeración basada en acceso ABE?
Se trata de una característica de Windows Server que permite ocultar los archivos y carpetas a los que los usuarios no tienen permisos de acceso.
En caso de no habilitar la opción de enumeración basada en acceso, cuando se vayan creando subcarpetas dentro de la compartida, todos los usuarios verán todas esas subcarpetas (aunque no tengan permisos de lectura o escritura):
En el ejemplo anterior, el usuario «alonso» tiene su carpeta «a» en el servidor, dentro de la carpeta compartida \\es\escaner. Solo tiene permisos de acceso para su carpeta «a», pero también ve las carpetas de otros usuarios. Aunque no pueda acceder a ellas, las ve.
Con la enumeración basada en acceso Windows ocultará a los usuarios las carpetas a las que no tengan permisos de lectura o de lectura/escritura.
Cómo habilitar la enumeración basada en acceso en Windows Server 2022 (2012, 2016, 2019)
Si aún no hemos compartido carpetas en el equipo, en el Administrador del servidor, nos mostrará el rol de «Servicios de archivos y de almacenamiento» (que se instala por defecto), pero sin la opción de «Recursos compartidos»:
En cuanto compartamos una primera carpeta en el equipo Windows Server 2022:
Para que un usuario no vea las carpetas/ficheros a los que no tiene acceso, habilitaremos la opción de enumeración basada en acceso, como explicamos a continuación.
Volviendo a acceder al Administrador del servidor, nos mostrará, en el rol «Servicios de archivos y de almacenamiento», la opción «Recursos compartidos»:
Pulsaremos con el botón derecho del ratón sobre el recurso compartido al que queramos habilitarle la enumeración basada en acceso y pulsaremos en «Propiedades»:
En «Configuración», marcaremos la opción «Habilitar enumeración basada en el acceso» y pulsaremos «Aplicar» y «Agregar»:
A partir de ahora, cuando un usuario acceda a la carpeta compartida raíz, dentro sólo verá las carpetas/ficheros a las que tenga permisos de lectura o de lectura/escritura.
En el ejemplo, si el usuario «alonso» accede ahora a la carpeta \\es\escaner, sólo verá la carpeta «a» (la que tiene permisos):
Permisos en carpeta compartida raíz y subcarpetas
En cuanto a los permisos, los estableremos por permisos del sistema (no del recurso compartido). Al recurso compartido asignaremos un «Todos» que puedan leer/escribir (Leer y Cambiar):
Y en los permisos del sistema, que prevalecen sobre los anteriores del recurso compartido, desde Propiedades de la carpeta, en la pestaña «Seguridad», en «Opciones avanzadas»:
Pulsaremos en «Deshabilitar herencia» para que no se propaguen futuros cambios en los permisos de las carpetas anteriores a esta:
Pulsaremos en «Convertir los permisos heredados en permisos explícitos en este objeto» para pasar los permisos heredados de la carpeta anterior como permisos normales. Así tendremos los permisos «básicos» y podremos modificarlos:
Agregaremos un nuevo permisos, pulsando en «Agregar», indicando para la entidad de seguridad «Todos» los permisos de «Lectura y ejecución», eligiendo en «Se aplica a» la opción «Solo esta carpeta»:
De esta forma todos los usuarios verán la carpeta raíz, pero no las subcarpetas contenidas, salvo las que tengan permisos.
Dentro de la carpeta raíz compartida, en cada subcarpeta, estableceremos qué usuarios o grupos de usuarios tendrán permisos de lectura o de lectura/escritura.
Siempre que hemos comentado «usuario» en este artículo, se puede reemplazar por «grupo de seguridad». Podremos aplicar los permisos a una carpeta por usuario o por grupo de seguridad (varios usuarios miembros del grupo).
