SERVER 2012R2

BenutzerverwaltungGruppenverwaltungKennwortrichtlinienOrganisationseinheitRechte & FreigabenAnmeldemethoden

Freigabe vs. NTFS-Berechtigung

Um die Freigabe mit der NTFS-Berechtigung nicht zu verwechselt, ist oftmals eine Gedankenstütze wünschenswert. Nach diesem Beitrag kann man die verschiedenen Berechtigungsarten nicht mehr verwechseln.

Die Freigabeberechtigung

Stelle Dir vor Du möchtest ein Sicherheitsgebäude betreten. An der ersten Haupteingangstür A wird zu allererst anhand Deiner Personalien überprüft ob Du überhaupt dazu berechtigt bist dieses Gebäude zu betreten. Stimmen die Informationen, wird zusätzlich noch geprüft welche Ausstattung Du in dem Gebäude benötigst. Es wird Dir ein kein Stift zum Schreiben, sondern nur eine Brille zum Lesen mitgegeben. Nach der Zutrittserlaubnis, kannst Du Dich ganz frei umsehen. Bedenke aber, dass es noch weitere Zonen gibt die für Dich keinen ungehinderten Zugang erlauben …

Die NTFS-Berechtigung

.… Die gesicherten Zonen werden wiederum durch eine Sicherheitsperson gesichert. Wenn Du diesen Bereich betreten möchtest, wird zu allererst überprüft, ob Du in diesem Raum den Stift zum SCHREIBEN oder nur die Brille zum LESEN verwenden darfst. Wenn bei der Überprüfung keinerlei Einschränkungen vorhanden sind, kannst Du alle Dokumente einsehen.

Auch wenn dieser Wachposten keinerlei Einschränkungen festgestellt hat, können Dokumente nicht einfach abgeändert werden, da Dir am Anfang an der ersten Haupteingangstür nur die Brille übergeben wurde. Dies bedeutet, dass Du bereits an der ersten Haupteingangstür das Maximum an Berechtigungen für die gesicherten Zonen erhalten hast (Nur die Brille zum Lesen).

Zum Vergleich zu den Freigabeberechtigungen bieten die NTFS-Berechtigungen viele Verbesserungen, zu dem Datenkomprimierung und Verschlüsselung, sowie Ordner- und Dateiberechtigungen.

Der Vergleich

Freigaberechtigung

  • VOLLZUGRIFF
    Beinhaltet die Berechtigung LESEN und ÄNDERN.
    Benutzer mit dieser Berechtigung sind berechtigt Berechtigungen zu ändern und aufzuheben.
  • ÄNDERN
    Beinhaltet zusätzlich die Berechtigung: LESEN
    Benutzer darf die vorhandenen Dateien und Ordner bearbeiten und löschen.
    In vorhandenen Ordnern können Unterordner und Dateien angelegt werden.
  • LESEN
    Benutzer können sich freigegebene Ordner und Dateien anzeigen.
    Anwendungen die sich in den freigegebenen Ordnern befinden, können ausgeführt werden.

Standard NTFS-Berechtigung

WinServ2012 - Berechtigungen NTFS - Unterschied bei Daten und Ordner
  • VOLLZUGRIFF
    Vollen Zugriff auf die Ordner und Dateien.
    Berechtigt Berechtigungen zu ändern und aufzuheben.
    Besitz übernehmen.
    Beinhaltet die Berechtigung: ÄNDERN.
  • ÄNDERN
    Berechtigung die Dateien und Ordner zu öffnen und zu Bearbeiten.
    Ordner und Dateien löschen.
    Beinhaltet die Berechtigung: LESEN, SCHREIBEN, AUSFÜHREN.
  • LESEN & AUSFÜHREN
    Öffnen und Lesen von Dateien im Ordner u. Unterordner.
    Programme im Ordner ausführen.
  • ORDNERINHALT AUFLISTEN (Nur Ordner)
    Dateien im Ordner anzeigen lassen. Fehlt einem Benutzer diese Berechtigung, wird eine Meldung erscheinen, dass der Ordner leer ist, auch wenn sich Dateien und Ordner im Ordner befinden.
  • LESEN
    Dateien im Ordner u. Unterordner NUR öffnen und lesen.
    Anzeigen der Dateiattribute des Benutzer (Blattobjekt) sowie der Berechtigung.
  • SCHREIBEN
    Dateien schreiben und in einen Ordner ablegen, jedoch später nicht mehr öffnen/anzeigen, wenn nur die Berechtigung Schreiben vergeben wurde.
    Dateien können überschrieben werden.
    Berechtigung zum Ändern an den Attributen.
    Anzeigen des Besitzers.
    Anzeigen der Berechtigungen.

Resultat einer NTFS-Berechtigung

In der Praxis kommt es immer wieder vor, dass ein Benutzer seine Berechtigungen an einem Order aus mehreren Gruppen bezieht. Deshalb muss hier eine besondere Beachtung und Errechnung erfolgen, wenn bei einer Gruppe die Berechtigungen verändert werden. Schnell hat ein Benutzer Berechtigungen die nicht für ihn vorgesehen sind, bzw. er hat evtl. nach der Abänderung seine bisherigen Berechtigungen verloren.

Beispiel 1

Norbert Kreidt als Benutzer und Mitglied von zwei Gruppen.
Gruppe A: Berechtigung für den Ordner "Dokumente" ÄNDERN.
Gruppe B: Berechtigung für den Ordner "Dokumente" LESEN.
Norbert Kreidt hat die Berechtigung des höheren Rechts, also ÄNDERN.

Anders ist es allerdings, wenn einem Benutzer Berechtigungen entzogen (VERWEIGERN) werden.

Beispiel 2

Ist ein Benutzer in zwei Gruppen vorhanden, die unterschiedliche Berechtigung auf denselben Ordner haben und man würde anschließend einer Gruppe eine Berechtigung verweigern, dann wird auch der Benutzer betroffen sein, obwohl er zusätzlich in der anderen Gruppe tätig ist.
Es werden also auch seine Berechtigungen überschrieben, da eine Verweigerung über alle anderen Berechtigungen steht. Eine Verweigerung wirkt sich sehr weitläufig aus und sollte in der Praxis eher vermieden werden.

Lieber dann keine Berechtigung erteilen, als später eine Verweigerung erteilen.


Vererbung von NTFS-Berechtigungen

Um Berechtigungen der Ordner umzusetzen, müssen die Berechtigungen nicht jeden einzelnen Ordner zugwiesen werden. Berechtigungen werden ganz einfach vom übergeordneten Ordner auf die untergeordneten Ordner übertragen,- von da ab spricht man dann von Vererbung.

Mit dieser Methode hat der Administrator eine leichtere Arbeit, denn der Zeitaufwand wird dadurch enorm reduziert.

Die Vererbung von Berechtigungen kann allerdings auch verändert werden, die sich wiederum sofort auf die jeweiligen untergeordneten Ordnerobjekte auswirken.
In der Praxis ist es oftmals auch so, dass die übergeordneten Berechtigungen nicht übernommen werden sollen.
d.h. Befindet sich in der Ordnerstruktur ein Ordner der nicht von allen definierten Benutzern in der oberen Ebene eingesehen werden darf, sondern nur vereinzelten Benutzern davon, dann kann das in den Einstellungen der jeweiligen Unterordner vorgenommen werden.

Die Möglichkeiten

  • Berechtigungen übertragen
    Berechtigungen können vom Überordner auf den Unterordner übertragen werden.
    Die Festlegung dieser Vererbung wird in den jeweiligen Unterordner festgelegt.
    Bei den Veränderungen an den Berechtigungen kann festgelegt werden, ob die neuen Berechtigungen an den weiteren neuen Unterordner vererbt werden sollen.
  • Die Standardeinstellungen
    Die Berechtigungsvererbung ist bereits in den Standardeinstellungen für alle Ordner aktiviert. Sie enthalten bereits vordefinierte Benutzergruppen und die dazu voreingestellten Berechtigungen, damit sichergestellt werden kann, dass neu erstellte Ordner unmittelbar verwendet werden können. Die Verwaltung dieser Berechtigungen können in den jeweiligen Ordnern vorgenommen werden.
  • Berechtigungsvererbung deaktivieren
    Es besteht auch die Möglichkeit, dass die Berechtigungsvererbung des übergeordneten Ordners verhindert werden sollen. Diese Einstellungen werden in den jeweiligen Unterordnern konfiguriert. Nachfolgend werden dann separat die Zugriffsberechtigungen der Benutzergruppen vorgenommen.
    Hierbei kann man sich zwischen zwei Vorgehensweisen (einzeln oder komplett) entscheiden.
  • Berechtigungsvererbung einzeln ausschalten
    Durch die kopierte Übernahme der Berechtigungen können die vererbten Einstellungen, durch die Kontrollkästchen kontrolliert und korrigiert werden.B-erechtigungsvererbung komplett unterbinden
    Die Übernahme von Berechtigungen muss in den jeweiligen Unterordner deaktiviert werden.
  • Berechtigungsvererbung komplett unterbinden
    Danach wird bestimmt, ob die Berechtigungen, so wie sie anfänglich vererbt werden sollten, in den Ordner abbildet werden sollen. Der so erzeugte Satz von Berechtigungen formt den Grundstock für die eigene Anpassung. Allerdings kann auch durch die Deaktivierung der Vererbung alle Berechtigungen entfernt werden. Beim letztem müssen dann die Berechtigungen gänzlich neu zugeordnet werden.

Änderungen vornehmen

Pfad zu dem Dialogfenster Erweiterte Sicherheitseinstellungen für "{Name des Ordners}"
Ordner -> Eigenschaften -> Sicherheit (Registerkarte) -> Erweitert(Schaltfläche)

WinServ2012 - Erweiterte Sicherheitseinstellungen für Ordner
Erweiterte Sicherheitseinstellungen für einen Ordner

Erklärung

Name: Ordnername der bearbeitet wird.
Besitzer: Der aktuelle Besitzer des Ordners.
Ändern: Mit dem Klick auf den Link Ändern, kann der Besitz übertragen werden.

Berechtigungseinträge (Links beginnend)

  • Symbol: Anzeige, ob es sich um eine Gruppe oder um ein Einzelkonto handelt.
  • Typ: Zulassen oder Verweigern.
  • Prinzipal: Anzeige des Benutzernamen oder Gruppenname.
  • Zugriff: Anzeige der Berechtigungen (Vollzugriff, Ändern, Lesen, Ausführen, Schreiben, … )
  • Geerbt: Woher die Zugriffsrechte stammen.
  • Anwenden auf: Zeigt an, für welche Objekte die Berechtigungen gelten.

Solange nicht die Vererbung deaktiviert wird, können keine Veränderungen hinzugefügt bzw. entfernt werden.
Durch den Klick auf die Schaltfläche Vererbung deaktivieren (siehe Abbildung oben) erscheint das folgende Dialogfenster Vererbung deaktivieren.

WinServ2012 - Vererbung Deaktivieren. Zwei Auswahlmöglichkeiten
Deaktivierung von Vererbungen

Zwei Auswahlmöglichkeiten für die Deaktivierung

Ich empfehle immer die erste Auswahlmöglichkeit Vererbte Berechtigungen in explizite Berechtigungen für diese Objekt konvertieren zu wählen, da die ACL's erhalten bleiben und anschließend separat entfernt werden können. Somit kann verhindert werden, dass versehentlich eine ACL entfernt wird die evtl. doch noch benötigt wird.
Durch die Entscheidung die zweite Option darunter Alle vererbten Berechtigungen aus dem Objekt entfernen zu wählen, werden alle ACL gelöscht und müssen anschließend kompl. neu erstellt werden.


Kopieren oder Verschieben

Aus irgendeinem Anlass müssen einzelne oder mehrere Dateien oder Ordner kopiert bzw. verschoben werden. Die Folgen daraus sollten auch in diesem Fall bekannt sein.
Eines sei bereits im Vorfeld gesagt, dass sich hier unter Umständen die Berechtigungen an dem Ordner verändern werden.

Die Berechtigungen des Zielordners werden auf den Ordner übertragen.

  • Kopieren innerhalb der NTFS-Partition.
  • Kopieren zwischen den NTFS-Partitionen.
  • Verschieben zwischen den NTFS-Partition.

Die Berechtigungen des Ordners bleibt bestehen.

  • Verschieben innerhalb der NTFS-Partition.

Werden Ordner zwischen der NTFS-Partition und einer FAT-Partition kopiert oder verschoben, verliert der Ordner seine ursprünglichen Berechtigungen.

Benutzerrechte Kopieren

Beim Kopieren von Dateien und Ordnern benötigt der Benutzer folgende Berechtigungen.
Quellverzeichnis: LESEN.
Zielverzeichnis: SCHREIBEN.

Benutzerrechte Verschieben

Beim Verschieben von Dateien und Ordnern benötigt der Benutzer folgende Berechtigungen.
Quellverzeichnis: LÖSCHEN.
Zielverzeichnis: SCHREIBEN.


Die Besitzübernahme

Erstellt ein Benutzer eine Datei oder einen Ordner ist er logischerweise der Besitzer. Somit hat er die weitreichenden Möglichkeiten (VOLLZUGRIFF) und kann auch anderen Benutzern oder Gruppen bestimmte Berechtigungen zuordnen. Ebenso kann er als Besitzer sein Besitzrecht auf andere übertragen.

Würde ein Benutzer vor dem Ausscheiden aus der Fa. die Besitzrechte nicht an einen anderen Benutzer oder an eine Gruppe übertragen, hat der Administrator nach wie vor die Macht die Besitzrechte an sich zu nehmen bzw. an einen anderen Benutzer oder an eine andere Gruppe zu übertragen.

Wer am Schluss der eigentliche Besitzer ist, kann in den jeweiligen Eigenschaften der Dateien und Ordner eingesehen werden.

Pfad zu dem Dialogfenster Erweiterte Sicherheitseinstellungen für "{Name des Ordners}"
Ordner -> Eigenschaften -> Sicherheit (Registerkarte) -> Erweitert(Schaltfläche)

WinServ2012 - Erweiterte Sicherheitseinstellungen
Die Übernahme von Besitzrechten

Im oberen Bereich unter Besitzer wird der aktuelle Besitzer des Objekts angezeigt.

Rechts davon befindet sich der Link Ändern. Über diesen Link kann der Besitz des Ordners abgeändert werden.