Freigabe vs. NTFS-Berechtigung

W2K12R2

Um die Freigabe mit der NTFS-Berechtigung nicht zu verwechselt, ist oftmals eine Gedankenstütze wünschenswert. Nach diesem Beitrag kann man die verschiedenen Berechtigungsarten nicht mehr verwechseln.

Die Freigabeberechtigung

Stelle Dir vor Du möchtest ein Sicherheitsgebäude betreten. An der ersten Haupteingangstür A wird zu allererst anhand Deiner Personalien überprüft ob Du überhaupt dazu berechtigt bist dieses Gebäude zu betreten. Stimmen die Informationen, wird zusätzlich noch geprüft welche Ausstattung Du in dem Gebäude benötigst. Es wird Dir ein kein Stift zum Schreiben, sondern nur eine Brille zum Lesen mitgegeben. Nach der Zutrittserlaubnis, kannst Du Dich ganz frei umsehen. Bedenke aber, dass es noch weitere Zonen gibt die für Dich keinen ungehinderten Zugang erlauben …

Die NTFS-Berechtigung

.… Die gesicherten Zonen werden wiederum durch eine Sicherheitsperson gesichert. Wenn Du diesen Bereich betreten möchtest, wird zu allererst überprüft, ob Du in diesem Raum den Stift zum SCHREIBEN oder nur die Brille zum LESEN verwenden darfst. Wenn bei der Überprüfung keinerlei Einschränkungen vorhanden sind, kannst Du alle Dokumente einsehen.

Auch wenn dieser Wachposten keinerlei Einschränkungen festgestellt hat, können Dokumente nicht einfach abgeändert werden, da Dir am Anfang an der ersten Haupteingangstür nur die Brille übergeben wurde. Dies bedeutet, dass Du bereits an der ersten Haupteingangstür das Maximum an Berechtigungen für die gesicherten Zonen erhalten hast (Nur die Brille zum Lesen).

Zum Vergleich zu den Freigabeberechtigungen bieten die NTFS-Berechtigungen viele Verbesserungen, zu dem Datenkomprimierung und Verschlüsselung, sowie Ordner- und Dateiberechtigungen.

Der Vergleich...

+ Freigaberechtigung

+ Standard NTFS-Berechtigung

WinServ2012 - Berechtigungen NTFS - Unterschied bei Daten und Ordner


Resultat einer NTFS-Berechtigung

In der Praxis kommt es immer wieder vor, dass ein Benutzer seine Berechtigungen an einem Order aus mehreren Gruppen bezieht. Deshalb muss hier eine besondere Beachtung und Errechnung erfolgen, wenn bei einer Gruppe die Berechtigungen verändert werden. Schnell hat ein Benutzer Berechtigungen die nicht für ihn vorgesehen sind, bzw. er hat evtl. nach der Abänderung seine bisherigen Berechtigungen verloren.

 1

Norbert Kreidt als Benutzer und Mitglied von zwei Gruppen.
Gruppe A: Berechtigung für den Ordner "Dokumente" ÄNDERN.
Gruppe B: Berechtigung für den Ordner "Dokumente" LESEN.
Norbert Kreidt hat die Berechtigung des höheren Rechts, also ÄNDERN.

Anders ist es allerdings, wenn einem Benutzer Berechtigungen entzogen (VERWEIGERN) werden.

 2

Ist ein Benutzer in zwei Gruppen vorhanden, die unterschiedliche Berechtigung auf denselben Ordner haben und man würde anschließend einer Gruppe eine Berechtigung verweigern, dann wird auch der Benutzer betroffen sein, obwohl er zusätzlich in der anderen Gruppe tätig ist.
Es werden also auch seine Berechtigungen überschrieben, da eine Verweigerung über alle anderen Berechtigungen steht. Eine Verweigerung wirkt sich sehr weitläufig aus und sollte in der Praxis eher vermieden werden.

Lieber dann keine Berechtigung erteilen, als später eine Verweigerung erteilen.


Vererbung von NTFS-Berechtigungen

Um Berechtigungen der Ordner umzusetzen, müssen die Berechtigungen nicht jeden einzelnen Ordner zugwiesen werden. Berechtigungen werden ganz einfach vom übergeordneten Ordner auf die untergeordneten Ordner übertragen,- von da ab spricht man dann von Vererbung.

Mit dieser Methode hat der Administrator eine leichtere Arbeit, denn der Zeitaufwand wird dadurch enorm reduziert.

Die Vererbung von Berechtigungen kann allerdings auch verändert werden, die sich wiederum sofort auf die jeweiligen untergeordneten Ordnerobjekte auswirken.
In der Praxis ist es oftmals auch so, dass die übergeordneten Berechtigungen nicht übernommen werden sollen.
d.h. Befindet sich in der Ordnerstruktur ein Ordner der nicht von allen definierten Benutzern in der oberen Ebene eingesehen werden darf, sondern nur vereinzelten Benutzern davon, dann kann das in den Einstellungen der jeweiligen Unterordner vorgenommen werden.

Die Möglichkeiten

Änderungen vornehmen

Pfad zu dem Dialogfenster Erweiterte Sicherheitseinstellungen für "{Name des Ordners}"
Ordner -> Eigenschaften -> Sicherheit (Registerkarte) -> Erweitert(Schaltfläche)

WinServ2012 - Erweiterte Sicherheitseinstellungen für Ordner

Erklärung

Name: Ordnername der bearbeitet wird.
Besitzer: Der aktuelle Besitzer des Ordners.
Ändern: Mit dem Klick auf den Link Ändern, kann der Besitz übertragen werden.

Berechtigungseinträge (Links beginnend)

Solange nicht die Vererbung deaktiviert wird, können keine Veränderungen hinzugefügt bzw. entfernt werden.
Durch den Klick auf die Schaltfläche Vererbung deaktivieren (siehe Abbildung oben) erscheint das folgende Dialogfenster Vererbung deaktivieren.

WinServ2012 - Vererbung Deaktivieren. Zwei Auswahlmöglichkeiten

Zwei Auswahlmöglichkeiten für die Deaktivierung

Ich empfehle immer die erste Auswahlmöglichkeit Vererbte Berechtigungen in explizite Berechtigungen für diese Objekt konvertieren zu wählen, da die ACL's erhalten bleiben und anschließend separat entfernt werden können. Somit kann verhindert werden, dass versehentlich eine ACL entfernt wird die evtl. doch noch benötigt wird.
Durch die Entscheidung die zweite Option darunter Alle vererbten Berechtigungen aus dem Objekt entfernen zu wählen, werden alle ACL gelöscht und müssen anschließend kompl. neu erstellt werden.


Kopieren oder Verschieben

Aus irgendeinem Anlass müssen einzelne oder mehrere Dateien oder Ordner kopiert bzw. verschoben werden. Die Folgen daraus sollten auch in diesem Fall bekannt sein.
Eines sei bereits im Vorfeld gesagt, dass sich hier unter Umständen die Berechtigungen an dem Ordner verändern werden.

Die Berechtigungen des Zielordners werden auf den Ordner übertragen.

Die Berechtigungen des Ordners bleibt bestehen.

Werden Ordner zwischen der NTFS-Partition und einer FAT-Partition kopiert oder verschoben, verliert der Ordner seine ursprünglichen Berechtigungen.

Benutzerrechte Kopieren

Beim Kopieren von Dateien und Ordnern benötigt der Benutzer folgende Berechtigungen.
Quellverzeichnis: LESEN.
Zielverzeichnis: SCHREIBEN.

Benutzerrechte Verschieben

Beim Verschieben von Dateien und Ordnern benötigt der Benutzer folgende Berechtigungen.
Quellverzeichnis: LÖSCHEN.
Zielverzeichnis: SCHREIBEN.


Die Besitzübernahme

Erstellt ein Benutzer eine Datei oder einen Ordner ist er logischerweise der Besitzer. Somit hat er die weitreichenden Möglichkeiten (VOLLZUGRIFF) und kann auch anderen Benutzern oder Gruppen bestimmte Berechtigungen zuordnen. Ebenso kann er als Besitzer sein Besitzrecht auf andere übertragen.

Würde ein Benutzer vor dem Ausscheiden aus der Fa. die Besitzrechte nicht an einen anderen Benutzer oder an eine Gruppe übertragen, hat der Administrator nach wie vor die Macht die Besitzrechte an sich zu nehmen bzw. an einen anderen Benutzer oder an eine andere Gruppe zu übertragen.

Wer am Schluss der eigentliche Besitzer ist, kann in den jeweiligen Eigenschaften der Dateien und Ordner eingesehen werden.

Pfad zu dem Dialogfenster Erweiterte Sicherheitseinstellungen für "{Name des Ordners}"
Ordner -> Eigenschaften -> Sicherheit (Registerkarte) -> Erweitert(Schaltfläche)

WinServ2012 - Erweiterte Sicherheitseinstellungen

Im oberen Bereich unter Besitzer wird der aktuelle Besitzer des Objekts angezeigt.

Rechts davon befindet sich der Link Ändern. Über diesen Link kann der Besitz des Ordners abgeändert werden.

Zugriffe: 22263
Drucken