040413_1253_Freigabeund3.png

Freigabe- und NTFS-Berechtigungen unter Windows

Das Verwalten von Benutzerrechten und Freigaben von Verzeichnissen und Dateien, gehört für einen Administrator zur täglichen Arbeit. Leider stolpert man allzu oft über Windows Freigaben, die unterschiedlichen Gruppen Vollzugriff gewährt. Dies stellt grundsätzlich kein Problem dar und wenn man damit richtig umgeht, ist ein sicheres Arbeiten möglich. Die richtige Kombination mit Freigaben und NTFS-Rechten ist hier der Schlüssel zum Erfolg. Leider schleichen sich genau in dieser Kombination sehr oft Fehler ein. Zum Schutz aller Administratoren muss ich hier erwähnen, dass dies meisten unbewusst und aus historischen Gründen geschieht.

Meine Grundregeln lauten:

  • Vollzugriff auf NTFS-Ebene bekommen nur die, die Wissen was sie tun (oder die es wissen sollten) – also nur die Administratoren
  • Rechte nur auf Gruppen nie Einzelpersonen
  • Nur Rechte gewähren die notwendig sind
  • Kein „Verweigern“

Wie man es nicht machen sollte

Nachfolgendes sehe ich leider sehr oft und das ist Böse….

Screenshot Vollzugriff Freigabe- und NTFS-Rechte
Vollzugriff auf Freigabe- und NTFS-Rechte ist eine Böse Kombination

Warum?

Weil ich als verantwortliche Person keine Kontrolle über die Zugriffsrechte habe. Vollzugriff impliziert das Recht, dass ich Berechtigungen ändern, den Besitz übernehmen und nicht eigene Unterordner und Dateien löschen darf.

Also alles was man nicht erlauben möchte und somit kurzum eine schlechte Idee.

Und wie mache ich es richtig?

Viele Wege führen nach Rom, so auch in diesem Fall. Ich verwende zumeist zwei Varianten, die ich hier kurz vorstellen möchte.

Reine NTFS-Berechtigungen

Hierbei bleibt auf der Freigabeberechtigung die Gruppe „Jeder“ mit Vollzugriff bestehen und die „Gruppe_Beispiel“ erhält nur das Recht „Ändern“.

Jeder und Ändern ist eine gute Kombination
Jeder und Ändern ist eine gute Kombination

Kombination aus Freigabe- und NTFS-Berechtigung

Auf der Freigabeberechtigung erhält die Gruppe „Jeder“ das Recht „Ändern“, die „Domänen-Admins“ Vollzugriff. Somit hat die NTFS-Berechtigung der „Gruppe_Beispiel“ keine Auswirkungen.

Zur Klarheit sollte man aber trotzdem die Rechte auf „Ändern“ setzen.

Screenshot "Jeder" mit Änderungsrechten
„Jeder“ besitzt nur Ändern Rechte, die in der Regel ausreichen. Eine Adminitrative Gruppe besitzt Vollzugriff

Diese Variante verzeiht Fehler in der NTFS-Berechtigungen, die erste nicht.

Grundlage

Freigabeberechtigung

Die Freigabeberechtigung ist die zentrale Verwaltung in der Domäne um Ressourcen zur Verfügung zu stellen und stammt noch aus der Zeit von OS/2. Dahinter verbirgt sich der LAN Manager, der es den Clients ermöglicht die Ressourcen zu verwenden.

Die Rechte beschränken sich im auf drei Arten:

  • Vollzugriff
    Dateien und Ordner können innerhalb der Freigabe gelesen, verändert, angelegt, gestartet und Berechtigungen verändert werden, sofern die NTFS-Rechte nicht entgegenstehen.
  • Ändern
    Dateien und Ordner können innerhalb der Freigabe gelesen, verändert, angelegt und gestartet werden, sofern die NTFS-Rechte nicht entgegenstehen.
  • Lesen
    Dateien und Ordner können innerhalb der Freigabe gelesen und gestartet werden, sofern die NTFS-Rechte nicht entgegenstehen.

Hinweise:

  • Freigabeberechtigungen gelten nur für den Remotezugriff. Lokale Berechtigungen werden nicht tangiert.
  • Wenn man ausschließlich über NTFS-Berechtigungen die Zugriffe steuern möchte, so ist auf der Freigabe „Jeder“ mit Vollzugriff zu versehen.

NTFS-Berechtigung

Die NTFS-Berechtigungen wurden immer weiter entwickelt und beinhalten zum heutigen Stand (Windows Server 2012) nachfolgende Rechte:

Spezielle Berechtigungen

Vollzugriff

Ändern

Lesen, Ausführen

Oderinhalt
anzeigen

Lesen

Schreiben

Vollzugriff

X

Ordner durchsuchen /Datei ausführen

X

X

X

X

Ordern auflisten / Daten lesen

X

X

X

X

X

Attribute lesen

X

X

X

X

X

Erweiterte Attribute lesen

X

X

X

X

X

Dateien erstellen / Daten Schreiben

X

X

X

Ordner erstellen / Daten anhängen

X

X

X

Attribute schreiben

X

X

X

Erweiterte Attribute schreiben

X

X

X

Unterordner und Dateien löschen

X

Löschen

X

X

Berechtigungen lesen

X

X

X

X

X

X

Berechtigungen ändern

X

Besitz übernehmen

X

  • „Lesen, Ausführen“ und „Ordnerinhalt anzeigen“ geben anscheinend die gleichen Berechtigungen wieder. Es wird jedoch auf unterschiedliche Art interpretiert. „Ordnerinhalt anzeigen“ werden nur von Ordner übernommen, nicht von Dateien. „Lesen, Ausführen“ wird sowohl für Ordner, als auch für Dateien übernommen.
  • Gruppen und Benutzern, denen Vollzugriff auf einen Ordner erteilt wurde, können alle Dateien in diesem Ordner löschen, dabei spielt es keine Rolle, ob die Dateien durch andere Berechtigungen geschützt werden.
  • Die Kombination aus Freigabe- und NTFS-Berechtigung regeln den Remotezugriff (*).

— Update

(*) – Update: 08.12.2015
Hinweis korrigiert. Danke an Frank für den Hinweis.

9 Gedanken zu „Freigabe- und NTFS-Berechtigungen unter Windows

  1. Sehr interessant.
    Ich habe jedoch ein Problem und zwar:
    Freigabe ist auf „Jeder“ -> „Ändern“.
    Nun NTFS Berechtigungen Gruppe1 und Gruppe2. Gruppe1 darf nicht Zugreifen und die Daten auch nicht sehen. Gruppe2 darf die Daten „Ändern“.
    Nun sieht jedoch jemand von Gruppe1 trotzdem die Daten aus dem Ordner. Gruppe2 Funktioniert soweit korrekt.
    Es kann jedoch sein, dass jemand in Gruppe1 und Gruppe2 ist. Dann muss dieser zugriff haben, weshalb eine Lösung mit „Verweigern“ welches ich nicht anwenden will nicht funktionieren würde.
    Ich habe keine Ahnung wo das Problem liegt, dass Gruppe1 trotzdem noch die Daten sieht. Kann es sein, dass meine Gruppen welche auf „Domänen-Benutzer“ verweisen das Problem sind? Wobei „Domänen-Benutzer“ keine Zugriffsrechte in der Domain haben sondern nur die Untergeordneten Gruppen.
    Auf dem Server ist es wie Folgt als BSP:
    „D:\Testfreigabe“
    Weder auf das Laufwerk D noch den Ordner „Testfreigabe“ hätte Gruppe1 zugriff. Es Funktioniert trotzdem.

    Hast du einen Rat? Ich stehe leider an… 🙁

  2. Hallo!

    Interessanter Artikel.

    Ich sehe kein Problem mit der Freigabe-Berechtigung Vollzugriff für Jeder oder authentifizierter Benutzer! Eine Einschränkung der Freigabe-Berechtigungen heißt ja auch, das die Benutzer nicht in der Lage sind, alle Dateioperationen in einer Freigabe auszuführen. Eventuell gibt es die Forderung, das Ersteller-Besitzer seine Dateien auch löschen können soll. Da wäre dann ein weiterer Eintrag bei den Freigabe-Berechtigungen nötig.

    Durch die Kombination der Freigabe- und NTFS-Berechtigungen ist es möglich, den effektiven Zugriff auf die Dateien bei Remotezugriff zu steuern. Bei Freigabe Vollzugriff und NTFS eingeschränkt regelt die NTFS-Berechtigung den Zugriff. Eine eingeschränkte Freigabe behindert den Remotezugriff!

    Den Satz „Die NTFS-Berechtigungen regeln den lokalen- und den Remotezugriff.“ kannst Du so nicht stehen lassen. Das stimmt nicht! Die NTFS-Berechtigungen regeln nur den lokalen Zugriff. Die Kombination aus Freigabe- und NTFS-Berechtigung regeln den Remotezugriff. Ohne entsprechende NTFS-Berechtigungen ist eine Freigabeberechtigung wertlos. Auch Vollzugriff.

    Gruß
    Frank

  3. Hi Alex,

    Ein solcher Beitrag mit dem deinem für dich idealen Aufbau wäre ganz interessant.
    Habe selbst ein Konzept erstellt für ein Mittelständischen Unternehmen welches Teil eines Konzerns ist. Vielleicht finde ich dadurch Probleme die ich bis jetzt noch nicht bedacht habe.

    Grüße

    Chris

  4. Hallo Chris,

    entschuldige die späte Antwort. Ich kenne Dein oben beschriebenes Problem sehr genau :).

    Zur Frage mit den gelöschten Gruppen:
    Grundsätzlich geht das in Ordnung, wenn es sich um Dateiablagen handelt. Du solltest aber Deine Sicherung ansehen, ob die Verzeichnisse und deren Inhalt mit gesichert werden. Oft hängen die an der lokalen Administratoren oder Systemen – sonst sehe ich da keine Probleme. Grundsatz: Zugriffe so restriktiv handhaben wie nötig und nicht mehr.

    Ja, mit „Authentifizierte Benutzer“ ist das sicherer – weil man zumindest ermitteln kann unter welchem Account zugegriffen wurde. Auch das ist eine grundsätzliche gute Idee – wenn es funktioniert. Was meine ich damit?
    – Kann sich jeder der auf dieses Verzeichnis zugreifen soll (Personen, Geräte, Dienste, usw.) authentifizieren (an der Domäne)? Die Hürde ist damit ein wenig höher, aber die Komplexität des Zugriffs ein wenig höher. Wenn aber die NTFS-Berechtigung stimmen, ist das aus meiner Sicht i.O..

    Der erste Aufbau bedingt viele Überlegungen und ist aufwendig, aber wenn man dies zu verantworten hat ist meiner Meinung nach der einzige richtige Weg.

    Wie gehe ich mit solchen Dingen, wie Du sie beschreibst um?
    Ich lasse das Chaos und baue parallel einen bereinigte Version auf. Ich kopiere das Chaos, setze die neuen Zugriffe um, schalte die alte Freigabe ab und setze die neue Freigabe mit dem alten Namen.

    Wenn es interessant sein sollte, kann ich gerne einen Beitrag zu „meinem“ Idealen Aufbau verfassen.

    Gruß

  5. Hi,
    Interessanter Beitrag. Ich bevorzuge das System Freigabe Berechtigung „Jeder“ auf „Vollzugriff“ und bei NTFS Berechtigungen die einzelnen Gruppen mit den jeweiligen Berechtigungen.
    Nun stehe ich vor einem Problem welches historischen gewachsen ist.
    Die Berechtigungen sind völliges Chaos ich ziehe momentan die Besitzer mit der Gruppe Administratoren des lokalen Servers gerade und Berechtige anschließend wie oben Beschrieben.
    Bei einigen Ordnern wurde allerdings unter dem Reiter Sicherheit jede Gruppe bis auf die Gruppe welche Berechtigt sein soll entfernt. Also die Gruppen Lokale Administratoren, System und Ersteller-Besitzer wurde herausgenommen. Nun ist die Frage wie notwendig sind die Gruppen. Wie minimal sollte man oder darf man hier aufbauen?
    Des weiteren Frage ich mich wäre anstatt der Gruppe „Jeder“ nicht die Gruppe „Authentifizierte Benutzer“ sicherer?

    Grüße
    Chris

Kommentar verfassen