NTFS Berechtigungen setzen

NTFS Berechtigungen haben den Zweck, den Zugriff auf Verzeichnisse in Microsoft-Umgebungen zu steuern. Besondere Relevanz haben NTFS Berechtigungen bei solchen Verzeichnissen, die sich im gemeinsamen Zugriff über ein Netzwerk befinden. NTFS Berechtigungen setzen ist zwar nicht besonders kompliziert, aber trotzdem kommt es immer wieder zu Fehlern durch Anwender.

Heute schauen wir uns die fünf häufigsten Fehler beim Setzen von NTFS Berechtigungen an. Außerdem zeigen wir Ihnen an ein paar Best-Practice-Beispielen, wie Sie Ordner und Dateien mithilfe von NTFS-Berechtigungen optimal und risikoarm freigeben.

Inhalte (verbergen)

NTFS Berechtigungen setzen – so geht’s!

Über NTFS Berechtigungen können sowohl einzelne  Benutzer als auch Gruppen auf einem Verzeichnis berechtigt werden. Anders als bei Freigabeberechtigungen, bei denen lediglich die Berechtigungsstufen „Lesen“, „Ändern“ und „Vollzugriff“ möglich sind, lassen sich die Zugriffe bei NTFS-Berechtigungen deutlich granularer einstellen.

Wo genau der Unterschied zwischen Freigabe- und NTFS-Berechtigungen liegt, erfahren Sie in unserem Blogbeitrag. NTFS-Berechtigungen werden eingestellt, indem man auf einen Ordner/eine Datei rechtsklickt und dann „Eigenschaften“ auswählt. In der Registerkarte „Sicherheit” lassen sich dann die Berechtigungen einstellen.

Die 5 häufigsten Fehler beim NTFS Berechtigungen setzen

1. Benutzer wird direkt berechtigt

Der häufigste Fehler, der beim NTFS Berechtigungen setzen begangen wird, ist es, Benutzerobjekte direkt auf dem Verzeichnis zu berechtigen. Der Berechtigungseintrag wird mangels Gruppenmitgliedschaft nicht beim Benutzerkonto im Active Directory angezeigt, was die Transparenz minimiert. Wird der Benutzer zu einem späteren Zeitpunkt gelöscht, bleibt eine sogenannte „verwaiste SID“ zurück (erkennbar an den berüchtigten Einträgen in der Form Unbekanntes Konto (S-123-12345-12345)).

Das liegt daran, dass beim Entfernen eines Benutzers aus dem AD zwar das Benutzerkonto selbst (mitsamt aller Gruppenmitgliedschaften) gelöscht wird, nicht jedoch die ACEs. Der ACE oder Access Control Entry wird auf den Verzeichnissen gesetzt, wenn der Benutzer direkt Rechte erhält.

2. Organisationsgruppen werden als Berechtigungsgruppe verwendet

Gerade bei Abteilungslaufwerken werden häufig Organisationsgruppen als Berechtigungsgruppen verwendet und direkt auf einem Verzeichnis mit NTFS Berechtigungen versehen. Besser ist es jedoch, Organisationsgruppen niemals direkt zu berechtigen, sondern diese nur zu nutzen, um alle Benutzer der gleichen Organisationseinheit zusammenzufassen.

Um anschließend allen Benutzern einer Organisationseinheit bestimmte Berechtigungen zu geben, muss die Organisationsgruppe Mitglied der gewünschten Lese- oder Schreibgruppe für das Verzeichnis werden.

Anderenfalls droht hier das gleiche wie bei direkt berechtigten Benutzerkonten: Verminderte Transparenz und das Risiko von verwaisten Einträgen, wenn jemand die Struktur ändern oder einen Benutzer löschen sollte.

3. Berechtigungsgruppe wird mehrfach verwendet

Werden NTFS Berechtigungen, wie empfohlen, ausschließlich über Berechtigungsgruppen gesetzt, kann ein weiteres Problem entstehen. Es kommt nämlich häufig vor, dass ein Admin aufgrund mangelnden Know-Hows über den Zweck der Gruppe die Berechtigungsgruppen mehrfach verwendet. Auch hier leidet die Transparenz, da die Mitgliedschaft mehr Rechte verschafft, als aufgrund der Bezeichnung zu erahnen wäre.

Besonders unübersichtlich wird die Struktur, wenn Berechtigungsgruppen fälschlicherweise ineinander oder kreuzweise mit anderen Berechtigungsgruppen verschachtelt werden. Warum es die Sicherheit Ihrer Daten gefährden kann, wenn Benutzer aufgrund solcher Fehler mehr Rechte erhalten, als sie eigentlich haben sollten, können sie u.a. in unserem Artikel Referenz User – die unterschätzte Gefahr nachlesen.

4. Konventionen werden nicht eingehalten

Die manuelle Verwaltung der für die NTFS-Best Practices notwendigen Gruppen erfordert einen hohen manuellen Aufwand und ein hohes Maß an organisationsweiter Disziplin. Die unterschiedlichen Administratoren müssen alle nach dem gleichen Standard und mit den gleichen Namenskonventionen arbeiten, da es sonst zu Verwechslungen und anderen strukturellen Problemen kommen kann.

5. Listrechte werden nicht oder falsch gesetzt

NTFS stellt nicht automatisch sicher, dass ein Benutzer, der Berechtigungen auf einem Ordner hat, auch garantiert bis zu diesem Ordner browsen kann (z.B. im Explorer). Dazu müssen spezielle Listberechtigungen („Ordnerinhalt anzeigen“) gesetzt werden. Am besten wird dies durch spezielle Berechtigungsgruppen („Listgruppen“) realisiert, die mit den eigentlichen Berechtigungsgruppen verschachtelt werden.

So erhält ein Benutzer über die Mitgliedschaft in einer Schreib- oder Lesegruppe automatisch auch alle notwendigen Listberechtigungen. Man muss dabei aber sehr darauf achten, dass die Listberechtigungen nur für den jeweiligen Ordner gelten und nicht für alle Unterordner.

Anderenfalls kann es schnell passieren, dass alle Benutzer durch alle Verzeichnisse auf dem Fileserver browsen können. Damit Ihnen dieser Fehler nicht passiert, informiert unser gratis Whitepaper Sie über die Best Practices zur Verwaltung von Berechtigungen in Microsoft-Umgebungen!

Best Practices im Umgang mit NTFS Berechtigungen

NTFS Berechtigungen setzen

Das Setzen von NTFS-Berechtigungen ist zwar nicht kompliziert, aber es gibt einige Dinge, die Sie beachten sollten. NTFS-Berechtigungen werden eingestellt, indem Sie

  1. mit der rechten Maustaste auf die Datei oder den Ordner klicken,
  2. “Eigenschaften” auswählen und auf die
  3. Registerkarte “Sicherheit” klicken. Es erscheint dieses Fenster:
Screenshot NTFS Berechtigungen

Während Freigabeberechtigungen lediglich die drei Möglichkeiten VollzugriffÄndern und Lesen zulassen, können Sie die Zugriffe bei NTFS-Berechtigungen deutlich detaillierter einstellen und theoretisch sehr spezielle Rechte auf Dateien und Ordner vergeben. Die wichtigsten NTFS-Berechtigungen sind folgende:

  • Ordnerinhalt anzeigen: Der Benutzer darf sehen, welche Verzeichnisse und Dateien sich im Ordner befinden.

  • Lesen: Der Benutzer darf nicht nur sehen, welche Verzeichnisse und Dateien sich in einem Ordner befinden, sondern er darf auch die Inhalte einsehen.

  • Lesen & Ausführen: Der Benutzer darf den Inhalt von Dateien in dem Ordner inklusive Skripte anzeigen und Programme ausführen.

  • Schreiben: Der Benutzer darf Dateien und Unterverzeichnisse hinzufügen und auch in eine Datei hineinschreiben.

  • Ändern: Der Benutzer darf sehen, lesen, ausführen und schreiben.

  • Vollzugriff: Der Benutzer darf den Inhalt von Dateien und Verzeichnissen ändern.  Darüber hinaus darf er aber auch Systemeinstellungen (z.B. Berechtigungen oder Besitz des Ordners)  verändern.

NTFS Berechtigungen setzen – Best Practices für Ihre Sicherheit

Verwenden Sie Berechtigungsgruppen

Für das ordnungsgemäße NTFS Berechtigungen setzen sollten stets entsprechende Berechtigungsgruppen verwendet werden. Das direkte Setzen von NTFS Berechtigungen für Benutzerobjekte sollte vermieden werden. Wird der Benutzer zu einem späteren Zeitpunkt nämlich aus dem Active Directory gelöscht, so bleibt ein verwaister Eintrag im Verzeichnis zurück.

Vermeiden Sie “versteckte” Berechtigungen

NTFS-Berechtigungen auf sehr tiefen Verzeichnisebenen zu setzen ist mittlerweile verpönt. Beschränkt man sich auf wenige (ein guter Wert sind 2 oder 3)  Ebenen, auf welchen das Setzen von NTFS-Berechtigungen ermöglicht wird, so erhöht sich die Übersichtlichkeit und sogenannte „versteckte Berechtigungen“ werden vermieden.

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

Whitepaper Berechtigungsmanagement in Microsoft-Umgebungen

  • Wie funktionieren NTFS Berechtigungen im Detail?

  • Welche Fehler werden häufig beim “NTFS Berechtigungen setzen” gemacht?

  • Was sind die Best Practices im Umgang mit NTFS Berechtigungen?

  • Wie werden NTFS Berechtigungen einfach ausgelesen?

  • Wie wird die Vergabe von NTFS Berechtigungen optimal dokumentiert?

“Ordnerinhalt anzeigen” auf Gruppenbasis vergeben

Ein Benutzer, der auf einem Ordner berechtigt ist (z.B. mit der Berechtigung „Lesen & Ausführen“), benötigt zusätzlich zur eigentlichen Berechtigung auf allen übergeordneten Ordnern die Berechtigung „Ordnerinhalt anzeigen“, um bis zum eigentlichen Ordner navigieren zu können. Diese Berechtigungen sollten ebenfalls auf Gruppenbasis vergeben werden. Im Optimalfall werden die Gruppen ineinander verschachtelt, sodass jeder Benutzer automatisch die NTFS-Berechtigungen zum Browsen erhält, wenn er die entsprechende Berechtigung auf dem untergeordneten Ordner erhält.

Vererbung nicht aufbrechen

Bei Windows-Berechtigungen gibt es die Möglichkeit, auf jeder Ordnerebene die Vererbung von NTFS-Berechtigungen „aufzubrechen“. Das bedeutet, dass der übliche Mechanismus (übergeordnete NTFS Berechtigungen werden von untergeordneten Ordnern übernommen) durchbrochen wird und gänzlich neue NTFS Berechtigungen gesetzt werden können. Dies trägt dazu bei, dass das Auslesen der NTFS Berechtigungen erschwert wird – die Berechtigungssituation wird schnell unüberschaubar.

Access Based Enumeration verwenden

Seit Windows 2003 R2 gibt es mit der Access Based Enumeration (ABE) die Möglichkeit, für den Benutzer alle Ordner auszublenden, auf die er aufgrund der NTFS-Berechtigungen keinen Zugriff hat. Das Aktivieren dieser Einstellung trägt wesentlich zur Übersichtlichkeit für die Benutzer bei, da der Benutzer nicht aus zig oder Hunderten Verzeichnissen diejenigen auswählen muss, auf die er Zugriff hat.

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden
Webinar Anmeldung Icon

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden