SID-500

Home » Security » NTFS und Freigabeberechtigungen

NTFS und Freigabeberechtigungen

NTFS Berechtigungen ermöglichen eine Berechtigungsstruktur der lokalen Ordner und Dateien. Sie finden dann Anwendung, wenn sich ein Benutzer lokal bzw. interaktiv am lokalen Computer anmeldet.

Freigabeberechtigungen ermöglichen den Zugriff auf Ressourcen im Netzwerk, beispielsweise über eine Netzlaufwerksverbindung. Sie finden dann Anwendung wenn ein Benutzer über das Netzwerk auf einen Ordner zugreift, welcher sich nicht auf seinem lokalen Rechner befindet. Allerdings spielen auch  hier NTFS Berechtigungen eine Rolle.

NTFS Berechtigungen

Microsoft NTFS ist ein von Microsoft entwickeltes Dateisystem. Das Filesystem NTFS unterstützt u.a.:

NTFS Berechtigungseinstellungen können grafisch oder per Befehlszeile konfiguriert werden. Die grafische Oberfläche erreicht man, indem man mit der rechten Maustaste auf den Ordner oder die Datei klickt und Eigenschaften wählt. Hier findet man den Reiter Sicherheit.

Bild1.png

Das Befehlszeilentool für die Bearbeitung von NTFS Berechtigungen ist icacls.

Bild2.png

Bild3.png

Die am meist genutzten NTFS Berechtigungen sind:

  • Lesen
  • Schreiben
  • Lesen, Ausführen
  • Schreiben
  • Ordnerinhalt anzeigen
  • Vollzugriff

Ändern und Schreiben unterscheidet sich insofern, dass bei Ändern auch Dateien gelöscht werden dürfen. Schreiben beinhaltet das Recht Dateien zu überschreiben und neue Dateien zu erstellen. Lesen und Lesen, Ausführen unterscheidet sich darin, dass bei Lesen, Ausführen nicht nur Dateien gelesen werden können, sondern auch ausführbare Dateien wie *.exe Dateien ausgeführt werden können. Bei Vollzugriff können Dateien und Ordner gelöscht, erstellt und verändert werden und die Berechtigungsstruktur des Ordners kann verändert werden. Ändern dagegen erlaubt es nicht die Berechtigungsstruktur zu verändern. Ordnerinhalt anzeigen listet den Ordner auf, die Unterverzeichnisse und Dateien werden sichtbar, können aber nicht geöffnet werden

Ein Beispiel: Max hat auf den Ordner Daten das Recht Lesen. Max  ist Mitglied der lokalen Gruppe Marketing. Die Gruppe Marketing hat auf den Ordner Daten das Recht Ändern. Welches Recht hat Max auf den Ordner Daten? Das Ergebnis: Ändern. Warum?

Berechtigungsstrukturen sind kumulativ. Alle Rechte werden addiert und das höchste Recht gilt. Ändern ist ein höheres Recht als Lesen.

Freigabe-Berechtigungen

Zum Unterschied zu NTFS Berechtigungen greifen Freigabe-Berechtigungen erst dann, wenn ein Ordner im Netzwerk für andere Benutzer freigegeben wird, damit diese auf den Ordner zugreifen können.

Die Benutzer können dann, indem Sie die Windows Taste + R drücken über den Pfad \\computername\freigabename auf den Ordner zugreifen.

Beispiel:

2

Weiters können Sie einen freigegeben Ordner eines anderen Benutzers oder Servers als Netzlaufwerk im Windows Explorer einbinden. Freigabeberechtigungen können grafisch oder in der Befehlszeile konfiguriert werden.

Bild4.png

Bild5.jpg

Bild6.png

Es stehen 3 Freigabe-Berechtigungen zur Verfügung:

  • Vollzugriff
  • Ändern
  • Lesen

Die Standard-Freigabe-Berechtigung beim Erstellen einer Freigabe ist: Gruppe Jeder – Lesen. Jeder ist wörtlich gemeint – Jeder.

Unbenannt.PNG

Wenn Mark auf den Ordner Daten über das Netzwerk zugreift und seine Freigabeberechtigung ist Lesen und seine NTFS Berechtigung ist Ändern was ist dann seine effektive Berechtigung?

Effektive Berechtigung – Zusammenspiel von Freigabe- und NTFS Berechtigungen

Die Regel lautet:

Höchstes effektives Recht aller NTFS Berechtigungen
+
Höchstes effektives Recht aller Freigabeberechtigungen

Die restriktivere Berechtigung aller effektiven Berechtigungen gilt

Beispiel 1

Mark ist Mitglied der Gruppen Marketing und Alle. Mark greift über das Netzwerk auf einen Ordner zu.

NTFS Berechtigungen:

  • Gruppe Marketing:   Ändern
  • Gruppe Alle:   Schreiben
  • Benutzer Mark:   Lesen

Freigabe Berechtigungen:

  • Gruppe Jeder:   Vollzugriff

  • Mark: Ändern

Erklärung: Höchstes NTFS Recht Mark: Ändern, Höchstes Freigaberecht: Vollzugriff. Das niedrigere Recht gilt: Ändern

Beispiel 2

Mark ist Mitglied der Gruppen Marketing und Alle. Mark greift über das Netzwerk auf einen Ordner zu.

NTFS Berechtigungen:

  • Gruppe Marketing:   Schreiben
  • Gruppe Alle:   Schreiben
  • Benutzer Mark:   Lesen

Freigabe Berechtigungen:

  • Gruppe Marketing:  Lesen
  • Gruppe Alle:  Lesen
  • Benutzer Mark:  Ändern

  • Mark: Schreiben

Beispiel 3

Mark ist Mitglied der Gruppen Marketing und Alle. Mark greift über das Netzwerk auf einen Ordner zu.

NTFS Berechtigungen:

  • Gruppe Marketing:   Ändern
  • Gruppe Alle:   Schreiben
  • Benutzer Mark:   Vollzugriff Verweigert

Freigabe Berechtigungen:

  • Gruppe Jeder:   Vollzugriff

  • Mark: Verweigert

Das Verweigert Recht wurde explizit gesetzt. Ein Recht Verweigert hat i.R. immer Vorrang vor einem Erlauben. Die anderen Berechtigungen ändern daran nichts.

Unbenannt.PNG

Noch ein Tipp zu Freigabeberechtigungen:

Da die Standardberechtigung Jeder – Lesen ist, kann es zu Problemen beim Zugriff kommen. Denn alle Benutzer, welche sich auf die Freigabe verbinden können maximal Lesen, denn es ist nicht relevant welche NTFS Berechtigungen  “dahinter” konfiguriert sind. Das niedrigste Recht der beiden gilt, also Lesen. Das ist besonders ungünstig für Administratoren.

Daher empfiehlt Microsoft beim Erstellen einer Freigabe darauf zu achten, das Recht Jeder Vollzugriff zu vergeben. “Dahinter” kann dann mit NTFS Berechtigungen der Zugriff angepasst werden.

Effektive Berechtigungen anzeigen

Die effektiven Berechtigungen können in den Eigenschaften der Datei oder des Ordners unter Sicherheit – Erweitert – Effektiver Zugriff angezeigt werden.

Unbenannt.JPG


3 Comments

  1. […] Grundlagen einer Berechtigungsstruktur. Die Anzahl der Administratoren mit mangelndem Wissen über NTFS- und Freigabe-Berechtigungen ist hoch  bis sehr […]

    Like

  2. […] die Einrichtung von Freigabe- und NTFS-Berechtigungen empfehle ich meinen Beitrag NTFS und Freigabeberechtigungen, welcher das Zusammenspiel der beiden Berechtigungen genau […]

    Like

  3. […] Control to everyone. Why Full Control? It is recommended by Microsoft and Best Practice. Consider: Be generous with share permissions and strict with NTFS permissions. […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

Who is the blogger?

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com