Hand, die am Computerbildschirm auf NTFS Berechtigungen zeigt.

Wenn lokale Ressourcen von mehreren Personen in einem Unternehmen verwendet werden, müssen sich die Zugriffsrechte einfach, aber effizient steuern lassen. Hier gibt es zwei bevorzugte Möglichkeiten: Freigabeberechtigungen und NTFS-Berechtigungen. Beide haben den gleichen Zweck: Datenschutz und Schutz vor unbefugten Zugriffen. Sie können nebeneinander existieren, funktionieren jedoch unterschiedlich.

Wir schauen uns heute an, wo genau der Unterschied zwischen Freigaben und NTFS Berechtigungen liegt, und wie das Best Practice Beispiel für ihre Verwendung in Microsoft Windows-Umgebungen aussieht.

Inhalte (verbergen)

Was sind NTFS Berechtigungen?

Das NTFS (New Technology File System) ist das standardisierte Dateisystem für Microsoft Windows NT und neuere Versionen des Microsoft-Betriebssystems. NTFS-Berechtigungen regeln also den Zugriff auf Dateien und Verzeichnisse auf Windows-Laufwerken.

Das Besondere an NTFS-Berechtigungen: Sie gelten sowohl bei lokalem Zugriff über den Rechner als auch bei nicht-lokalem Zugriff über das Netzwerk. Hier liegt auch schon der entscheidende Unterschied der NTFS-Berechtigung zur Freigabeberechtigung: Letztere gilt lediglich bei Zugriff über Netzwerk. Bei lokalem Zugriff hat sie keine Gültigkeit.

NTFS Berechtigungen setzen

Das Setzen von NTFS-Berechtigungen ist zwar nicht kompliziert, aber es gibt einige Dinge, die Sie beachten sollten. In unserem Beitrag NTFS-Berechtigungen setzen klären wir Sie über die 4 häufigsten Fehler auf und zeigen Ihnen Best-Practice-Beispiele.

NTFS-Berechtigungen werden eingestellt, indem man auf einen Ordner/eine Datei rechtsklickt und dann „Eigenschaften“ auswählt. In der Registerkarte „Sicherheit” lassen sich die Berechtigungen einstellen. Es erscheint dieses Fenster:

Screenshot NTFS Berechtigungen

Während Freigabeberechtigungen lediglich die drei Möglichkeiten Vollzugriff, Ändern und Lesen zulassen, können Sie die Zugriffe bei NTFS-Berechtigungen sowohl für Einzelpersonen als auch für Gruppen deutlich detaillierter einstellen. Theoretisch ist es also möglich, mithilfe von NTFS Berechtigungen sehr spezielle Rechte zu vergeben.

So können die gesetzten Zugriffsrechte über die Eigenschaft der Vererbung von NTFS Berechtigungen z.B. auf untergeordnete Dateien oder Ordner weitergegeben werden. Die folgende NTFS-Berechtigungsstufen sind die Wichtigsten:

  • Ordnerinhalt anzeigen: Der Benutzer darf sehen, welche Verzeichnisse und Dateien sich im Ordner befinden.

  • Lesen: Der Benutzer darf nicht nur sehen, welche Verzeichnisse und Dateien sich in einem Ordner befinden, sondern er darf auch die Inhalte einsehen.

  • Lesen & Ausführen: Der Benutzer darf den Inhalt von Dateien in dem Ordner inklusive Skripte anzeigen und Programme ausführen.

  • Schreiben: Der Benutzer darf Dateien und Unterverzeichnisse hinzufügen und auch in eine Datei hineinschreiben.

  • Ändern: Der Benutzer darf sehen, lesen, ausführen und schreiben.

  • Vollzugriff: Der Benutzer darf den Inhalt von Dateien und Verzeichnissen ändern.  Darüber hinaus darf er aber auch Systemeinstellungen (z.B. Berechtigungen oder Besitz des Ordners)  verändern.


Wie wirken Freigabeberechtigungen?

Freigabeberechtigungen dienen dazu, den Zugriff auf einen Ordner (und dessen Unterordner und Dateien) zu steuern, wenn der Zugriff über Netzwerk erfolgt. Bei lokalem Zugriff über den PC hat die Freigabeberechtigung also keinen EinflussFreigabeberechtigungen können Sie vergeben, indem Sie mit der rechten Maustaste auf den Ordner klicken, “Eigenschaften” öffnen, anschließend die Registerkarte „Freigabe“, dann „Erweiterte Freigabe“ öffnen und zum Schluss auf “Berechtigungen” klicken. Es erscheint dieses Fenster:

Screenshot Freigabeberechtigungen setzen

Bei Freigaben sind die Berechtigungen auf die Stufen „Lesen“, „Ändern“ und „Vollzugriff“ beschränkt. Es können, anders als bei NTFS-Berechtigungen, keine erweiterten Einstellungen vorgenommen werden:

  • Lesen: Benutzer dürfen die Inhalte des Ordners sehen.

  • Ändern: Der Benutzer darf Ordner und Dateien innerhalb der Freigabe lesen, ausführen, schreiben und löschen.

  • Vollzugriff: Der Benutzer darf Ordner und Dateien innerhalb der Freigabe ändern, außerdem aber auch Berechtigungen bearbeiten sowie die Kontrolle über Dateien übernehmen.

Das Problem mit Freigabe-Berechtigungen

Das Letzte, was ein Unternehmen braucht, sind komplizierte, unübersichtliche oder ineinander verschachtelte Berechtigungen. Wer sich jedoch dafür entscheidet, anstelle von NTFS-Berechtigungen ausschließlich Freigabeberechtigungen zu verwenden, wird sehr wahrscheinlich mit diesem Problem konfrontiert. Das liegt daran, dass bei Freigabe-Berechtigungen z.B. mehrere Freigaben innerhalb derselben Hierarchie möglich sind.

Außerdem kann es passieren, dass einem Benutzer unbeabsichtigt umfangreichere Rechte auf einem Unterordner zugeteilt werden, weil die Freigabe-Berechtigung auf einer höher angeordneten Adresse erweitert wird. Über weitere mögliche Nachteile einer Beschränkung auf Freigabeberechtigungen können Sie sich hier informieren.

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden
Webinar Anmeldung Icon

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Freigabe- und NTFS-Berechtigungen gemeinsam verwenden?

Es ist absolut möglich, sowohl NTFS- als auch Freigabeberechtigungen zu verwenden. Wichtig ist nur, dass Sie sich darüber im Klaren sind, welche der Berechtigungen den Vorrang hat. Anderenfalls kann es passieren, dass Sie Ihren Mitarbeitern ungewollt entweder unzureichende oder zu umfangreiche Rechte einräumen.

Beim Zugriff über Netzwerk haben Freigabeberechtigungen immer den Vorrang vor den eingestellten NTFS-Berechtigungen. Erfolgt der Zugriff auf einen Ordner jedoch lokal am Fileserver, gelten die NTFS-Berechtigungen. Das Entscheidende: Selbst beim Zugriff über Netzwerk kann die Freigabeberechtigung die NTFS Berechtigung NICHT erweitern. Sie kann sie lediglich weiter einschränken, wenn sie dem User z.B. geringere Berechtigungen einräumt als die NTFS-Berechtigung.

Merksatz: Werden Freigabe- und NTFS-Berechtigungen gemeinsam verwendet, ist immer die restriktivste Berechtigung gültig.

Beispiele für gemischte Freigabe- und NTFS-Berechtigungen

Wir wollen anhand eines Beispiels für einen Ordner „\\srv\Abteilungen\Verkauf“ verdeutlichen, wie sich Freigabe- und NTFS-Berechtigungen verhalten, wenn sie miteinander vermischt werden. Wir nehmen an, dass der Zugriff auf den Ordner nicht lokal, sondern über die Netzwerkfreigabe erfolgt.

Beispiel 1

Bei der Freigabe-Berechtigungen „Lesen“ und der NTFS-Berechtigung „Vollzugriff“ erhält der Benutzer beim Zugriff auf die freigegebene Datei nur die Berechtigung „Lesen”, weil die Freigabeberechtigung den “Vollzugriff” über das Netzwerk nicht zulässt.

NTFS Berechtigungen vs. Freigabeberechtigungen

Beispiel 2

Bei der Freigabe-Berechtigung „Vollzugriff“ und der NTFS-Berechtigung „Lesen“ erhält der Benutzer beim Zugriff auf die freigegebene Datei nach wie vor nur die Berechtigung „Lesen”. Die Freigabeberechtigung würde zwar den „Vollzugriff“ zulassen, allerdings ist der Zugriff lokal durch NTFS auf „Lesen & Ausführen“ beschränkt.

NTFS Berechtigungen vs. Freigabeberechtigungen

Best Practice: Freigabe- und NTFS Berechtigungen

Wie Sie in unseren Beispielen gesehen haben, bietet die Ordner-Freigabe mit nur drei Möglichkeiten, wie sie über Freigabeberechtigungen erfolgt, nur eine sehr eingeschränkte Sicherheit für Ihre Ordner. Flexibler sind Sie, wenn Sie beim Steuern der Zugriffe in erster Linie mit den NTFS-Berechtigungen arbeiten und lediglich dafür sorgen, dass der Zugriff auf Netzwerkebene nicht unnötig durch die Freigabeberechtigungen eingeschränkt wird.

Unsere Empfehlung lautet daher: Setzen Sie die Freigabeberechtigungen für Administratoren auf die Berechtigungsstufe „Vollzugriff“ und für Domänen-Benutzer auf “Ändern”. Setzen Sie darüber hinaus keine weiteren Freigabeberechtigungen.


Auf diese Weise gelten vordergründig die im NTFS gesetzten Berechtigungen, ohne dass diese bei Zugriff über Netzwerk eingeschränkt werden könnten. Wenn Sie die Berechtigungen auf Fileservern über NTFS steuern, profitieren Sie von folgenden Vorteilen:

  • Eine Kombination aus NTFS-Berechtigungen und Freigabeberechtigungen ist zu unübersichtlich und komplex.
  • NTFS-Berechtigungen erlauben eine granulare Vergabe von Berechtigungen.
  • NTFS-Berechtigungen gelten auch dann, wenn der Zugriff lokal auf dem Server erfolgt.

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download