NTFS Berechtigungen setzen: Die 4 häufigsten Fehler und Best Practices

Was sind NTFS Berechtigungen?

NTFS Berechtigungen haben den Zweck, den Zugriff auf Verzeichnisse in Microsoft-Umgebungen zu steuern. Besondere Relevanz haben NTFS Berechtigungen dabei bei Verzeichnissen, die sich im gemeinsamen Zugriff über ein Netzwerk befinden. Über NTFS Berechtigungen können sowohl Benutzer als auch Gruppen auf einem Verzeichnis berechtigt werden. Es können dabei unterschiedliche Berechtigungsstufen, wie beispielsweise „Lesen“, „Ändern“ oder „Vollzugriff“ gesetzt werden.

Was sind die 4 häufigsten Fehler beim “NTFS Berechtigungen setzen”?

  • Benutzer wird direkt berechtigt4 häufigsten Fehler beim NTFS Berechtigungen setzen
    Der häufigste Fehler, der beim “NTFS Berechtigungen setzen” begangen wird, ist, Benutzerobjekte direkt auf dem Verzeichnis zu berechtigen. Der Berechtigungseintrag wird mangels Gruppenmitgliedschaft nicht beim Benutzerkonto angezeigt, was die Transparenz minimiert. Wird der Benutzer zu einem späteren Zeitpunkt gelöscht, bleibt eine sogenannte „verwaiste SID“ zurück (erkennbar an den berüchtigten Einträgen in der Form „Unbekanntes Konto (S-123-12345-12345)).
  • Organisationsgruppen werden als Berechtigungsgruppe verwendet
    Gerade bei Abteilungslaufwerken werden häufig Organisationsgruppen als Berechtigungsgruppen verwendet und direkt auf einem Verzeichnis mit NTFS Berechtigungen versehen. Es gilt hierbei grundsätzlich das gleiche wie bei direkt berechtigten Benutzerkonten: Verminderte Transparenz und Risiko von verwaisten Einträgen bei Änderungen in der Struktur.
  • Berechtigungsgruppe wird mehrfach verwendet
    Werden NTFS Berechtigungen – wie empfohlen – über Gruppen gesetzt, wartet allerdings noch ein Fallstrick: Häufig kommt es vor, dass mangels entsprechendem Know-How über den Zweck der Gruppe die Berechtigungsgruppen mehrfach verwendet werden. Auch hier leidet die Transparenz, da die Mitgliedschaft mehr Rechte verschafft, als auf Grund des Namens zu erahnen wäre.
  • Konventionen werden nicht eingehalten
    Die manuelle Verwaltung der für die NTFS-Best Practices notwendigen Gruppen erfordert einen hohen manuellen Aufwand und ein hohes Maß an organisationsweiter Disziplin. Die unterschiedlichen Administratoren müssen alle nach dem gleichen Standard und mit den gleichen Namenskonventionen arbeiten, da es sonst zu Verwechslungen und anderen strukturellen Problemen kommen kann.

Was sind die Best Practices im Umgang mit NTFS Berechtigungen?

Grundsätzlich gilt es, bei Windows-Berechtigungen einige Dinge zu beachten:

  • Für das ordnungsgemäße Setzen von NTFS Berechtigungen sollten stets entsprechende Berechtigungsgruppen verwendet werden. Das direkte Setzen von NTFS Berechtigungen für Benutzerobjekte sollte vermieden werden – wird der Benutzer zu einem späteren Zeitpunkt aus dem Active Directory gelöscht, so bleibt ein verwaister Eintrag im Verzeichnis zurück.
  • NTFS-Berechtigungen auf sehr tiefen Verzeichnisebenen zu setzen ist mittlerweile verpönt. Beschränkt man sich auf wenige (ein guter Wert sind 2 oder 3)  Ebenen, auf welchen das Setzen von NTFS-Berechtigungen ermöglicht wird, so erhöht sich die Übersichtlichkeit und sogenannte „versteckte Berechtigungen“ werden vermieden.
  • Ein Benutzer, der auf einem Ordner berechtigt ist (zum Beispiel mit der Berechtigung „Lesen & Ausführen“), benötigt zusätzlich zur eigentlichen Berechtigung auf allen übergeordneten Ordnern die Berechtigung „Ordnerinhalt anzeigen“, um bis zum eigentlichen Ordner navigieren zu können. Diese Berechtigungen sollten ebenfalls auf Gruppenbasis vergeben werden. Im Optimalfall werden die Gruppen ineinander verschachtelt, sodass jeder Benutzer automatisch die NTFS-Berechtigungen zum Browsen erhält, wenn er die entsprechende Berechtigung auf dem untergeordneten Ordner erhält.
  • Bei Windows-Berechtigungen gibt es die Möglichkeit, auf jeder Ordnerebene die Vererbung „aufzubrechen“. Das bedeutet, dass der übliche Mechanismus (übergeordnete NTFS Berechtigungen werden von untergeordneten Ordnern übernommen) durchbrochen wird und gänzlich neue NTFS Berechtigungen gesetzt werden können. Dies trägt dazu bei, dass das Auslesen der NTFS Berechtigungen erschwert wird – die Berechtigungssituation wird schnell unüberschaubar.
  • Seit Windows 2003 R2 gibt es mit der „Access Based Enumeration“ (ABE) die Möglichkeit, für den Benutzer alle Ordner auszublenden, auf die er aufgrund der NTFS-Berechtigungen keinen Zugriff hat. Das Aktivieren dieser Einstellung trägt wesentlich zur Übersichtlichkeit für die Benutzer bei, da der Benutzer nicht aus zig oder Hunderten Verzeichnissen diejenigen auswählen muss, auf die er Zugriff hat.

Wir empfehlen: Whitepaper “Best Practices im Berechtigungsmanagement in Microsoft-Umgebungen”

Für eine detaillierte technische und organisatorische Betrachtung fordern Sie das White Paper „Best Practices im Berechtigungsmanagement in Microsoft-Umgebungen“ an. Darin erfahren Sie im Detail:

  • Wie funktionieren NTFS Berechtigungen im Detail?
  • Welche Fehler werden häufig beim “NTFS Berechtigungen setzen” gemacht?
  • Was sind die Best Practices im Umgang mit NTFS Berechtigungen?
  • Wie werden NTFS Berechtigungen einfach ausgelesen?
  • Wie wird die Vergabe von NTFS Berechtigungen optimal dokumentiert?
  •  Welche Unterstützung bietet das Tool „tenfold“ beim Umgang mit NTFS Berechtigungen?

Whitepaper jetzt unverbindlich anfordern:

Dieser Beitrag könnte Sie auch interessieren:

NTFS-Berechtigungen und Freigabeberechtigungen – Wo liegt da der Unterschied?

By |2018-11-20T16:44:50+00:0016 / 01 / 2018|BLOG|

About the Author:

Michael Ugrinovich
Michael Ugrinovich ist Senior Manager Products & Services beim Software Hersteller tenfold. Mit seinem hochgradigen technischen Know-How setzt der diplomierte IT-Experte ununterbrochen neue Maßstäbe beim Benutzer- und Berechtigungsmanagement sowie Identity- und Access Management. Er war richtungsweisend an der Entwicklung des Standard-Software Produkts tenfold beteiligt. // Michael Ugrinovich is Senior Products & Services Manager at the software company tenfold. With his extensive technical knowledge, the certified IT expert has continued to set new standards in the fields of user and permissions management, as well as identity and access management. He was strongly involved in the development of the standard software product tenfold.