Freigabe vs. NTFS-Berechtigung - Vererbung von NTFS-Berechtigungen
Vererbung von NTFS-Berechtigungen
Um Berechtigungen der Ordner umzusetzen, müssen die Berechtigungen nicht jeden einzelnen Ordner zugwiesen werden. Berechtigungen werden ganz einfach vom übergeordneten Ordner auf die untergeordneten Ordner übertragen,- von da ab spricht man dann von Vererbung.
Mit dieser Methode hat der Administrator eine leichtere Arbeit, denn der Zeitaufwand wird dadurch enorm reduziert.
Die Vererbung von Berechtigungen kann allerdings auch verändert werden, die sich wiederum sofort auf die jeweiligen untergeordneten Ordnerobjekte auswirken.
In der Praxis ist es oftmals auch so, dass die übergeordneten Berechtigungen nicht übernommen werden sollen.
d.h. Befindet sich in der Ordnerstruktur ein Ordner der nicht von allen definierten Benutzern in der oberen Ebene eingesehen werden darf, sondern nur vereinzelten Benutzern davon, dann kann das in den Einstellungen der jeweiligen Unterordner vorgenommen werden.
Die Möglichkeiten
- Berechtigungen übertragen
Berechtigungen können vom Überordner auf den Unterordner übertragen werden.
Die Festlegung dieser Vererbung wird in den jeweiligen Unterordner festgelegt.
Bei den Veränderungen an den Berechtigungen kann festgelegt werden, ob die neuen Berechtigungen an den weiteren neuen Unterordner vererbt werden sollen. - Die Standardeinstellungen
Die Berechtigungsvererbung ist bereits in den Standardeinstellungen für alle Ordner aktiviert. Sie enthalten bereits vordefinierte Benutzergruppen und die dazu voreingestellten Berechtigungen, damit sichergestellt werden kann, dass neu erstellte Ordner unmittelbar verwendet werden können. Die Verwaltung dieser Berechtigungen können in den jeweiligen Ordnern vorgenommen werden. - Berechtigungsvererbung deaktivieren
Es besteht auch die Möglichkeit, dass die Berechtigungsvererbung des übergeordneten Ordners verhindert werden sollen. Diese Einstellungen werden in den jeweiligen Unterordnern konfiguriert. Nachfolgend werden dann separat die Zugriffsberechtigungen der Benutzergruppen vorgenommen.
Hierbei kann man sich zwischen zwei Vorgehensweisen (einzeln oder komplett) entscheiden. - Berechtigungsvererbung einzeln ausschalten
Durch die kopierte Übernahme der Berechtigungen können die vererbten Einstellungen, durch die Kontrollkästchen kontrolliert und korrigiert werden.B-erechtigungsvererbung komplett unterbinden
Die Übernahme von Berechtigungen muss in den jeweiligen Unterordner deaktiviert werden. - Berechtigungsvererbung komplett unterbinden
Danach wird bestimmt, ob die Berechtigungen, so wie sie anfänglich vererbt werden sollten, in den Ordner abbildet werden sollen. Der so erzeugte Satz von Berechtigungen formt den Grundstock für die eigene Anpassung. Allerdings kann auch durch die Deaktivierung der Vererbung alle Berechtigungen entfernt werden. Beim letztem müssen dann die Berechtigungen gänzlich neu zugeordnet werden.
Änderungen vornehmen
Pfad zu dem Dialogfenster Erweiterte Sicherheitseinstellungen für "{Name des Ordners}"
Ordner -> Eigenschaften -> Sicherheit (Registerkarte) -> Erweitert(Schaltfläche)
Erklärung
Name: Ordnername der bearbeitet wird.
Besitzer: Der aktuelle Besitzer des Ordners.
Ändern: Mit dem Klick auf den Link Ändern, kann der Besitz übertragen werden.
Berechtigungseinträge (Links beginnend)
- Symbol: Anzeige, ob es sich um eine Gruppe oder um ein Einzelkonto handelt.
- Typ: Zulassen oder Verweigern.
- Prinzipal: Anzeige des Benutzernamen oder Gruppenname.
- Zugriff: Anzeige der Berechtigungen (Vollzugriff, Ändern, Lesen, Ausführen, Schreiben, … )
- Geerbt: Woher die Zugriffsrechte stammen.
- Anwenden auf: Zeigt an, für welche Objekte die Berechtigungen gelten.
Solange nicht die Vererbung deaktiviert wird, können keine Veränderungen hinzugefügt bzw. entfernt werden.
Durch den Klick auf die Schaltfläche Vererbung deaktivieren (siehe Abbildung oben) erscheint das folgende Dialogfenster Vererbung deaktivieren.
Zwei Auswahlmöglichkeiten für die Deaktivierung
Ich empfehle immer die erste Auswahlmöglichkeit Vererbte Berechtigungen in explizite Berechtigungen für diese Objekt konvertieren zu wählen, da die ACL's erhalten bleiben und anschließend separat entfernt werden können. Somit kann verhindert werden, dass versehentlich eine ACL entfernt wird die evtl. doch noch benötigt wird.
Durch die Entscheidung die zweite Option darunter Alle vererbten Berechtigungen aus dem Objekt entfernen zu wählen, werden alle ACL gelöscht und müssen anschließend kompl. neu erstellt werden.