NTFS-Berechtigungen und Freigabeberechtigungen – Wo liegt da der Unterschied?

NTFS-BerechtigungenWas sind NTFS-Berechtigungen?

NTFS-Berechtigungen regeln den Zugriff auf Dateien und Verzeichnisse auf Windows-Laufwerken. Die eingestellten Berechtigungen wirken dabei unabhängig davon, ob der Zugriff lokal über den Rechner oder mit einer Ordnerfreigabe über das Netzwerk erfolgt.
NTFS-Berechtigungen werden eingestellt, indem man auf einen Ordner „rechtsklickt” und dann „Eigenschaften“ auswählt. Im Kartereiter „Sicherheit” lassen sich die Berechtigungen einstellen. Es wird zwischen verschiedenen, unterschiedlichen Berechtigungsstufen unterschieden:

  • Ordnerinhalt anzeigen – Der Benutzer darf sehen, welche Verzeichnisse und Dateien sich im Ordner befinden
  • Lesen & Ausführen – der Benutzer darf den Inhalt von Dateien in dem Ordner anzeigen und Programme ausführen
  • Ändern – Der Benutzer darf darüber hinaus den Inhalt von Dateien und Verzeichnissen ändern
  • Vollzugriff – Der Benutzer darf weiters Systemeinstellungen, wie Berechtigungen oder Besitz des Ordners, verändern.

Zusätzlich gibt es die Möglichkeit vielzählige zusätzliche Einstellungen und Optionen zu setzen. Wie man mit NTFS-Berechtigungen am besten umgeht, zeigt unser Whitepaper:

Whitepaper Best Practices in Microsoft-Umgebungen

 

Wie wirken Freigabeberechtigungen?

Freigabeberechtigungen dienen dazu, den Zugriff auf einen Ordner (und dessen Unterordner und Dateien) zu steuern, wenn der Zugriff über Netzwerk erfolgt. Freigabeberechtigungen haben somit keinen Einfluss darauf, wenn der Zugriff auf die Dateien lokal über den Rechner erfolgt.
In der Kombination mit NTFS-Berechtigungen haben Freigabeberechtigungen immer den Vorrang. Freigabeberechtigungen können somit die eingestellten NTFS-Berechtigungen immer nur einschränken und niemals erweitern. Bei Freigaben sind die Berechtigungen auf die Stufen „Lesen & Ausführen“, „Ändern“ und „Vollzugriff“ beschränkt. Es können keine erweiterten Einstellungen vorgenommen werden.

Fileserverberechtigungen

Anhand eines Beispiels für einen Ordner „\\srv\Abteilungen\Verkauf“ soll das verdeutlicht werden. Wir nehmen dabei an, dass der Zugriff auf den Ordner über die Netzwerkfreigabe erfolgt (bei lokalem Zugriff am Fileserver selbst gelten, wie gesagt, lediglich die NTFS-Berechtigungen – die Freigabeberechtigungen haben keinen Einfluss).

Beispiel 1:
• NTFS-Berechtigung: „Vollzugriff“
• Freigabeberechtigung: „Lesen & Ausführen“
• Effektive Berechtigung des Benutzers: „Lesen & Ausführen“

Die Freigabeberechtigung lässt den „Vollzugriff“ beim Zugriff über Netzwerk nicht zu.


Beispiel 2:

• NTFS-Berechtigung: „Lesen & Ausführen“
• Freigabeberechtigung: „Vollzugriff“
• Effektive Berechtigung des Benutzers: „Lesen & Ausführen“

Die Freigabeberechtigung würde über Netzwerk zwar den „Vollzugriff“ zulassen, allerdings ist der Zugriff durch NTFS mit „Lesen & Ausführen“ beschränkt.

 

Was ist die empfohlene Einstellung?

Unsere Empfehlung lautet die Freigabeberechtigungen auf „Jeder“ mit der Berechtigungsstufe „Vollzugriff“ zu setzen. Darüber hinaus sollten keine Freigabeberechtigungen gesetzt werden. Dadurch wird der Zugriff auf Netzwerkebene nicht eingeschränkt und es gelten ausschließlich die im NTFS gesetzten Berechtigungen.

Es hat wesentliche Vorteile, die Berechtigungen auf Fileservern alleine über NTFS zu steuern:

  • Eine Kombination aus NTFS-Berechtigungen und Freigabeberechtigungen ist zu unübersichtlich und komplex
  • NTFS-Berechtigungen erlauben eine granulare Vergabe von Berechtigungen
  • NTFS-Berechtigungen gelten auch dann, wenn der Zugriff lokal auf dem Server erfolgt

 

Auf welche Details Sie dabei achten müssen erfahren Sie in unserem Whitepaper!

Whitepaper Best Practices in Microsoft-Umgebungen

In unseren Webinaren erfahren Sie, wie unsere Software „tenfold“ Sie bei der ordnungsgemäßen Verwaltung der Berechtigungen unterstützen kann:

Hersteller-Webinare – Terminübersicht & Anmeldung

By |2019-02-12T18:11:37+00:0030 / 01 / 2018|BLOG|

About the Author:

Michael Ugrinovich
Michael Ugrinovich ist Senior Manager Products & Services beim Software Hersteller tenfold. Mit seinem hochgradigen technischen Know-How setzt der diplomierte IT-Experte ununterbrochen neue Maßstäbe beim Benutzer- und Berechtigungsmanagement sowie Identity- und Access Management. Er war richtungsweisend an der Entwicklung des Standard-Software Produkts tenfold beteiligt.