NTFS-Berechtigungen und Freigabeberechtigungen: Wo liegt der Unterschied?
Wenn lokale Ressourcen von mehreren Personen in einem Unternehmen verwendet werden, müssen sich die Zugriffsrechte einfach, aber effizient steuern lassen. Hier gibt es zwei bevorzugte Möglichkeiten: Freigabeberechtigungen und NTFS-Berechtigungen. Beide haben den gleichen Zweck: Datenschutz und Schutz vor unbefugten Zugriffen. Sie können nebeneinander existieren, funktionieren jedoch unterschiedlich.
Wir schauen uns heute an, wo genau der Unterschied zwischen Freigaben und NTFS Berechtigungen liegt, und wie das Best Practice Beispiel für den Einsatz von Share und NTFS Permissions in Microsoft Windows-Umgebungen aussieht.
Was sind NTFS Berechtigungen?
Das NTFS (New Technology File System) ist das standardisierte Dateisystem für Microsoft Windows NT und neuere Versionen des Microsoft-Betriebssystems. NTFS-Berechtigungen regeln also den Zugriff auf Dateien und Verzeichnisse auf Windows-Laufwerken.
Das Besondere an NTFS-Berechtigungen: Sie gelten sowohl bei lokalem Zugriff über den Rechner als auch bei nicht-lokalem Zugriff über das Netzwerk. Hier liegt auch schon der entscheidende Unterschied der NTFS-Berechtigung zur Freigabeberechtigung: Letztere gilt lediglich bei Zugriff über Netzwerk. Bei lokalem Zugriff hat sie keine Gültigkeit.
NTFS Berechtigungen setzen
Das Setzen von NTFS-Berechtigungen ist zwar nicht kompliziert, aber es gibt einige Dinge, die Sie beachten sollten. In unserem Beitrag NTFS-Berechtigungen setzen klären wir Sie über die 5 häufigsten Fehler auf und zeigen Ihnen Best-Practice-Beispiele für die korrekte Vergabe und Verwaltung.
NTFS-Berechtigungen werden eingestellt, indem man auf einen Ordner/eine Datei rechtsklickt und dann „Eigenschaften“ auswählt. In der Registerkarte „Sicherheit” lassen sich die Berechtigungen einstellen. Es erscheint dieses Fenster:
Während Freigabeberechtigungen für den Zugriff auf Daten lediglich die drei Möglichkeiten Vollzugriff, Ändern und Lesen zulassen, können Sie die Zugriffe bei NTFS-Berechtigungen sowohl für Einzelpersonen als auch für Gruppen deutlich detaillierter einstellen. Theoretisch ist es also möglich, mithilfe von NTFS Berechtigungen sehr spezielle Rechte zu vergeben.
So können die gesetzten Zugriffsrechte über die Eigenschaft der Vererbung von NTFS Berechtigungen z.B. auf untergeordnete Dateien oder Ordner weitergegeben werden. Die folgenden NTFS-Berechtigungsstufen sind die Wichtigsten:
Ordnerinhalt anzeigen: Der Benutzer darf sehen, welche Verzeichnisse und Dateien sich im Ordner befinden.
Lesen: Der Benutzer darf nicht nur sehen, welche Verzeichnisse und Dateien sich in einem Ordner befinden, sondern er darf auch die Inhalte einsehen.
Lesen & Ausführen: Der Benutzer darf den Inhalt von Dateien in dem Ordner inklusive Skripte anzeigen und Programme ausführen.
Schreiben: Der Benutzer darf Dateien und Unterverzeichnisse hinzufügen und auch in eine Datei hineinschreiben.
Ändern: Der Benutzer darf sehen, lesen, ausführen und schreiben.
Vollzugriff: Der Benutzer darf den Inhalt von Dateien und Verzeichnissen ändern. Darüber hinaus darf er aber auch Systemeinstellungen (z.B. Berechtigungen oder Besitz des Ordners) verändern.
Wie wirken Freigabeberechtigungen?
Freigabeberechtigungen dienen dazu, den Zugriff auf einen Ordner (und dessen Unterordner und Daten) zu steuern, wenn der Zugriff über das Netzwerk erfolgt. Bei lokalem Zugriff über den PC hat die Freigabeberechtigung also keinen Einfluss. Freigabeberechtigungen können Sie vergeben, indem Sie mit der rechten Maustaste auf den Ordner klicken, “Eigenschaften” öffnen, anschließend die Registerkarte „Freigabe“, dann „Erweiterte Freigabe“ öffnen und zum Schluss auf “Berechtigungen” klicken. Es erscheint dieses Fenster:
Bei Freigaben sind die Berechtigungen auf die Stufen „Lesen“, „Ändern“ und „Vollzugriff“ beschränkt. Es können, anders als bei NTFS-Berechtigungen, keine erweiterten Einstellungen vorgenommen werden, um granulare Regeln für den Zugang eines Benutzers oder einer Gruppe festzulegen. Die drei Berechtigungsstufen im Überblick:
Lesen: Benutzer dürfen die Inhalte des Ordners sehen.
Ändern: Der Benutzer darf Ordner und Dateien innerhalb der Freigabe lesen, ausführen, schreiben und löschen.
Vollzugriff: Der Benutzer darf Ordner und Dateien innerhalb der Freigabe ändern, außerdem aber auch Berechtigungen bearbeiten sowie die Kontrolle über Dateien übernehmen.
Das Problem mit Freigabe-Berechtigungen
Das Letzte, was ein Unternehmen braucht, sind komplizierte, unübersichtliche oder ineinander verschachtelte Berechtigungen. Wer sich jedoch dafür entscheidet, anstelle von NTFS-Berechtigungen ausschließlich Freigabeberechtigungen zu verwenden, wird sehr wahrscheinlich mit diesem Problem konfrontiert. Das liegt daran, dass bei Freigabe-Berechtigungen z.B. mehrere Freigaben innerhalb derselben Hierarchie möglich sind.
Außerdem kann es passieren, dass einem Benutzer unbeabsichtigt umfangreichere Rechte auf einem Unterordner zugeteilt werden, weil die Freigabe-Berechtigung auf einer höher angeordneten Adresse erweitert wird. Über weitere mögliche Nachteile einer Beschränkung auf Freigabeberechtigungen können Sie sich hier informieren.
Die TOP 5 Gründe für Identity & Access Management
Freigabe- und NTFS-Berechtigungen gemeinsam verwenden?
Es ist absolut möglich, sowohl NTFS- als auch Freigabeberechtigungen zu verwenden. Wichtig ist nur, dass Sie sich darüber im Klaren sind, welche der Berechtigungen den Vorrang hat. Anderenfalls kann es passieren, dass Sie Ihren Mitarbeitern ungewollt entweder unzureichende oder zu umfangreiche Rechte einräumen.
Beim Zugriff über Netzwerk haben Freigabeberechtigungen immer den Vorrang vor den eingestellten NTFS-Berechtigungen. Erfolgt der Zugriff auf einen Ordner jedoch lokal am Fileserver, gelten die NTFS-Berechtigungen.
Das Entscheidende: Selbst beim Zugriff über Netzwerk kann die Freigabeberechtigung die NTFS Berechtigung NICHT erweitern. Sie kann sie lediglich weiter einschränken, wenn sie dem User z.B. geringere Berechtigungen einräumt als die NTFS-Berechtigung.
Merksatz: Werden Freigabe- und NTFS-Berechtigungen gemeinsam verwendet, ist immer die restriktivere Berechtigung gültig.
Beispiele für gemischte Freigabe- und NTFS-Berechtigungen
Wir wollen anhand eines Beispiels für einen Ordner „\\srv\Abteilungen\Verkauf“ verdeutlichen, wie sich Freigabe- und NTFS-Berechtigungen verhalten, wenn sie miteinander vermischt werden. Wir nehmen an, dass der Zugriff auf den Ordner nicht lokal, sondern über die Netzwerkfreigabe erfolgt.
Beispiel 1
Bei der Freigabe-Berechtigungen „Lesen“ und der NTFS-Berechtigung „Vollzugriff“ erhält der Benutzer beim Zugriff auf die freigegebene Datei nur die Berechtigung „Lesen”, weil die Freigabeberechtigung den “Vollzugriff” über das Netzwerk nicht zulässt.
Beispiel 2
Bei der Freigabe-Berechtigung „Vollzugriff“ und der NTFS-Berechtigung „Lesen“ erhält der Benutzer beim Zugriff auf die freigegebene Datei nach wie vor nur die Berechtigung „Lesen”. Die Freigabeberechtigung würde zwar den „Vollzugriff“ zulassen, allerdings ist der Zugriff lokal durch NTFS auf „Lesen“ beschränkt.
Best Practice: Freigabe- und NTFS Berechtigungen
Wie Sie in unseren Beispielen gesehen haben, bietet die Ordner-Freigabe mit nur drei Möglichkeiten, wie sie über Freigabeberechtigungen erfolgt, nur eine sehr eingeschränkte Sicherheit für Ihre Ordner und Daten. Flexibler sind Sie, wenn Sie beim Steuern der Berechtigungen für Benutzer und Gruppen in erster Linie mit den NTFS-Berechtigungen arbeiten und lediglich dafür sorgen, dass der Zugriff auf Netzwerkebene nicht unnötig durch die Freigabeberechtigungen eingeschränkt wird.
Unsere Empfehlung lautet daher: Setzen Sie die Freigabeberechtigungen für Administratoren auf die Berechtigungsstufe „Vollzugriff“ und für Domänen-Benutzer auf “Ändern”. Setzen Sie darüber hinaus keine weiteren Freigabeberechtigungen.
Auf diese Weise gelten vordergründig die im NTFS gesetzten Berechtigungen, ohne dass diese bei Zugriff über Netzwerk eingeschränkt werden könnten. Wenn Sie die Berechtigungen auf Fileservern über NTFS steuern, profitieren Sie von folgenden Vorteilen:
Eine Kombination aus NTFS-Berechtigungen und Freigabeberechtigungen ist zu unübersichtlich und komplex.
NTFS-Berechtigungen erlauben eine granulare Vergabe von Berechtigungen für unterschiedliche User, Gruppen und Verzeichnisse.
NTFS-Berechtigungen gelten auch dann, wenn der Zugriff lokal auf dem Server erfolgt.
NTFS und Freigabeberechtigungen sicher verwalten
Selbstverständlich gilt es auch bei der Vergabe von NTFS-Berechtigungen einige Besonderheiten zu beachten. Beispielsweise ermöglicht der Einsatz von Access Based Enumeration es, Ordner nur für Benutzer sichtbar zu machen, die auch über die nötige Berechtigung dafür verfügen. Zudem gilt es beim Aufbau der Berechtigungsgruppen im Active Directory auf die richtige Struktur und Einhaltung des AGDLP-Prinzips zu achten.
Bei großen Mengen an Benutzerkonten und Verzeichnissen gelingt die erfolgreiche Verwaltung am einfachsten mit automatisierter Software für das Identity und Access Management, die NTFS- und Freigabeberechtigungen selbstständig anhand der rollenbasierten Berechtigungsvergabe zuweist und für die Einhaltung aller Best Practices rund um die Active Directory Sicherheit sorgt.
Weitere Tipps & Hinweise rund um die effiziente Berechtigungsverwaltung auf Windows-Systemen finden Sie in unserem Whitepaper zu diesem Thema.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.