NTFS Berechtigungen haben den Zweck, den Zugriff auf Verzeichnisse in Microsoft-Umgebungen zu steuern. Besondere Relevanz haben NTFS Berechtigungen bei solchen Verzeichnissen, die sich im gemeinsamen Zugriff über ein Netzwerk befinden. NTFS Berechtigungen setzen ist zwar nicht besonders kompliziert, aber trotzdem kommt es immer wieder zu Fehlern durch Anwender.

Heute schauen wir uns die vier häufigsten Fehler beim Setzen von NTFS Berechtigungen an. Außerdem zeigen wir Ihnen an ein paar Best-Practice-Beispielen, wie Sie Ordner und Dateien mithilfe von NTFS-Berechtigungen optimal und risikoarm freigeben.

NTFS Berechtigungen setzen – so geht’s!

Über NTFS Berechtigungen können sowohl einzelne  Benutzer als auch Gruppen auf einem Verzeichnis berechtigt werden. Anders als bei Freigabeberechtigungen, bei denen lediglich die Berechtigungsstufen „Lesen“, „Ändern“ und „Vollzugriff“ möglich sind, lassen sich die Zugriffe bei NTFS-Berechtigungen deutlich granularer einstellen.

Wo genau der Unterschied zwischen Freigabe- und NTFS-Berechtigungen liegt, erfahren Sie in unserem Blogbeitrag. NTFS-Berechtigungen werden eingestellt, indem man auf einen Ordner/eine Datei rechtsklickt und dann „Eigenschaften“ auswählt. In der Registerkarte „Sicherheit” lassen sich dann die Berechtigungen einstellen.

Die 4 häufigsten Fehler beim NTFS Berechtigungen setzen

1. Benutzer wird direkt berechtigt

Der häufigste Fehler, der beim NTFS Berechtigungen setzen begangen wird, ist es, Benutzerobjekte direkt auf dem Verzeichnis zu berechtigen. Der Berechtigungseintrag wird mangels Gruppenmitgliedschaft nicht beim Benutzerkonto angezeigt, was die Transparenz minimiert. Wird der Benutzer zu einem späteren Zeitpunkt gelöscht, bleibt eine sogenannte „verwaiste SID“ zurück (erkennbar an den berüchtigten Einträgen in der Form Unbekanntes Konto (S-123-12345-12345)).

2. Organisationsgruppen werden als Berechtigungsgruppe verwendet

Gerade bei Abteilungslaufwerken werden häufig Organisationsgruppen als Berechtigungsgruppen verwendet und direkt auf einem Verzeichnis mit NTFS Berechtigungen versehen. Es gilt hierbei grundsätzlich das gleiche wie bei direkt berechtigten Benutzerkonten: Verminderte Transparenz und Risiko von verwaisten Einträgen bei Änderungen in der Struktur.

3. Berechtigungsgruppe wird mehrfach verwendet

Werden NTFS Berechtigungen – wie empfohlen – über Gruppen gesetzt, wartet allerdings noch ein Fallstrick: Häufig kommt es vor, dass mangels entsprechendem Know-How über den Zweck der Gruppe die Berechtigungsgruppen mehrfach verwendet werden. Auch hier leidet die Transparenz, da die Mitgliedschaft mehr Rechte verschafft, als auf Grund des Namens zu erahnen wäre.

4. Konventionen werden nicht eingehalten

Die manuelle Verwaltung der für die NTFS-Best Practices notwendigen Gruppen erfordert einen hohen manuellen Aufwand und ein hohes Maß an organisationsweiter Disziplin. Die unterschiedlichen Administratoren müssen alle nach dem gleichen Standard und mit den gleichen Namenskonventionen arbeiten, da es sonst zu Verwechslungen und anderen strukturellen Problemen kommen kann.

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Best Practices im Umgang mit NTFS Berechtigungen?

Grundsätzlich gilt es, beim NTFS Berechtigungen setzen einige Dinge zu beachten:

  • Für das ordnungsgemäße NTFS Berechtigungen setzen sollten stets entsprechende Berechtigungsgruppen verwendet werden. Das direkte Setzen von NTFS Berechtigungen für Benutzerobjekte sollte vermieden werden. Wird der Benutzer zu einem späteren Zeitpunkt nämlich aus dem Active Directory gelöscht, so bleibt ein verwaister Eintrag im Verzeichnis zurück.
  • NTFS-Berechtigungen auf sehr tiefen Verzeichnisebenen zu setzen ist mittlerweile verpönt. Beschränkt man sich auf wenige (ein guter Wert sind 2 oder 3)  Ebenen, auf welchen das Setzen von NTFS-Berechtigungen ermöglicht wird, so erhöht sich die Übersichtlichkeit und sogenannte „versteckte Berechtigungen“ werden vermieden.
  • Ein Benutzer, der auf einem Ordner berechtigt ist (z.B. mit der Berechtigung „Lesen & Ausführen“), benötigt zusätzlich zur eigentlichen Berechtigung auf allen übergeordneten Ordnern die Berechtigung „Ordnerinhalt anzeigen“, um bis zum eigentlichen Ordner navigieren zu können. Diese Berechtigungen sollten ebenfalls auf Gruppenbasis vergeben werden. Im Optimalfall werden die Gruppen ineinander verschachtelt, sodass jeder Benutzer automatisch die NTFS-Berechtigungen zum Browsen erhält, wenn er die entsprechende Berechtigung auf dem untergeordneten Ordner erhält.
  • Bei Windows-Berechtigungen gibt es die Möglichkeit, auf jeder Ordnerebene die Vererbung „aufzubrechen“. Das bedeutet, dass der übliche Mechanismus (übergeordnete NTFS Berechtigungen werden von untergeordneten Ordnern übernommen) durchbrochen wird und gänzlich neue NTFS Berechtigungen gesetzt werden können. Dies trägt dazu bei, dass das Auslesen der NTFS Berechtigungen erschwert wird – die Berechtigungssituation wird schnell unüberschaubar.
  • Seit Windows 2003 R2 gibt es mit der „Access Based Enumeration“ (ABE) die Möglichkeit, für den Benutzer alle Ordner auszublenden, auf die er aufgrund der NTFS-Berechtigungen keinen Zugriff hat. Das Aktivieren dieser Einstellung trägt wesentlich zur Übersichtlichkeit für die Benutzer bei, da der Benutzer nicht aus zig oder Hunderten Verzeichnissen diejenigen auswählen muss, auf die er Zugriff hat.

Whitepaper “Best Practices im Berechtigungsmanagement in Microsoft-Umgebungen”

Für eine detaillierte technische und organisatorische Betrachtung holen Sie sich unser Whitepaper „Best Practices im Berechtigungsmanagement in Microsoft-Umgebungen“

  • Wie funktionieren NTFS Berechtigungen im Detail?
  • Welche Fehler werden häufig beim “NTFS Berechtigungen setzen” gemacht?
  • Was sind die Best Practices im Umgang mit NTFS Berechtigungen?
  • Wie werden NTFS Berechtigungen einfach ausgelesen?
  • Wie wird die Vergabe von NTFS Berechtigungen optimal dokumentiert?