Was sind NTFS Berechtigungen?

NTFS Berechtigungen haben den Zweck, den Zugriff auf Verzeichnisse in Microsoft-Umgebungen zu steuern. Besondere Relevanz haben NTFS Berechtigungen dabei bei Verzeichnissen, die sich im gemeinsamen Zugriff über ein Netzwerk befinden. Über NTFS Berechtigungen können sowohl Benutzer als auch Gruppen auf einem Verzeichnis berechtigt werden. Es können dabei unterschiedliche Berechtigungsstufen, wie beispielsweise „Lesen“, „Ändern“ oder „Vollzugriff“ gesetzt werden.

Was sind die 4 häufigsten Fehler beim “NTFS Berechtigungen setzen”?

  • Benutzer wird direkt berechtigt
    Der häufigste Fehler, der beim “NTFS Berechtigungen setzen” begangen wird, ist, Benutzerobjekte direkt auf dem Verzeichnis zu berechtigen. Der Berechtigungseintrag wird mangels Gruppenmitgliedschaft nicht beim Benutzerkonto angezeigt, was die Transparenz minimiert. Wird der Benutzer zu einem späteren Zeitpunkt gelöscht, bleibt eine sogenannte „verwaiste SID“ zurück (erkennbar an den berüchtigten Einträgen in der Form „Unbekanntes Konto (S-123-12345-12345)).
  • Organisationsgruppen werden als Berechtigungsgruppe verwendet
    Gerade bei Abteilungslaufwerken werden häufig Organisationsgruppen als Berechtigungsgruppen verwendet und direkt auf einem Verzeichnis mit NTFS Berechtigungen versehen. Es gilt hierbei grundsätzlich das gleiche wie bei direkt berechtigten Benutzerkonten: Verminderte Transparenz und Risiko von verwaisten Einträgen bei Änderungen in der Struktur.
  • Berechtigungsgruppe wird mehrfach verwendet
    Werden NTFS Berechtigungen – wie empfohlen – über Gruppen gesetzt, wartet allerdings noch ein Fallstrick: Häufig kommt es vor, dass mangels entsprechendem Know-How über den Zweck der Gruppe die Berechtigungsgruppen mehrfach verwendet werden. Auch hier leidet die Transparenz, da die Mitgliedschaft mehr Rechte verschafft, als auf Grund des Namens zu erahnen wäre.
  • Konventionen werden nicht eingehalten
    Die manuelle Verwaltung der für die NTFS-Best Practices notwendigen Gruppen erfordert einen hohen manuellen Aufwand und ein hohes Maß an organisationsweiter Disziplin. Die unterschiedlichen Administratoren müssen alle nach dem gleichen Standard und mit den gleichen Namenskonventionen arbeiten, da es sonst zu Verwechslungen und anderen strukturellen Problemen kommen kann.

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Was sind die Best Practices im Umgang mit NTFS Berechtigungen?

Grundsätzlich gilt es, beim NTFS Berechtigungen setzen einige Dinge zu beachten:

  • Für das ordnungsgemäße NTFS Berechtigungen setzen sollten stets entsprechende Berechtigungsgruppen verwendet werden. Das direkte Setzen von NTFS Berechtigungen für Benutzerobjekte sollte vermieden werden – wird der Benutzer zu einem späteren Zeitpunkt aus dem Active Directory gelöscht, so bleibt ein verwaister Eintrag im Verzeichnis zurück.
  • NTFS-Berechtigungen auf sehr tiefen Verzeichnisebenen zu setzen ist mittlerweile verpönt. Beschränkt man sich auf wenige (ein guter Wert sind 2 oder 3)  Ebenen, auf welchen das Setzen von NTFS-Berechtigungen ermöglicht wird, so erhöht sich die Übersichtlichkeit und sogenannte „versteckte Berechtigungen“ werden vermieden.
  • Ein Benutzer, der auf einem Ordner berechtigt ist (zum Beispiel mit der Berechtigung „Lesen & Ausführen“), benötigt zusätzlich zur eigentlichen Berechtigung auf allen übergeordneten Ordnern die Berechtigung „Ordnerinhalt anzeigen“, um bis zum eigentlichen Ordner navigieren zu können. Diese Berechtigungen sollten ebenfalls auf Gruppenbasis vergeben werden. Im Optimalfall werden die Gruppen ineinander verschachtelt, sodass jeder Benutzer automatisch die NTFS-Berechtigungen zum Browsen erhält, wenn er die entsprechende Berechtigung auf dem untergeordneten Ordner erhält.
  • Bei Windows-Berechtigungen gibt es die Möglichkeit, auf jeder Ordnerebene die Vererbung „aufzubrechen“. Das bedeutet, dass der übliche Mechanismus (übergeordnete NTFS Berechtigungen werden von untergeordneten Ordnern übernommen) durchbrochen wird und gänzlich neue NTFS Berechtigungen gesetzt werden können. Dies trägt dazu bei, dass das Auslesen der NTFS Berechtigungen erschwert wird – die Berechtigungssituation wird schnell unüberschaubar.
  • Seit Windows 2003 R2 gibt es mit der „Access Based Enumeration“ (ABE) die Möglichkeit, für den Benutzer alle Ordner auszublenden, auf die er aufgrund der NTFS-Berechtigungen keinen Zugriff hat. Das Aktivieren dieser Einstellung trägt wesentlich zur Übersichtlichkeit für die Benutzer bei, da der Benutzer nicht aus zig oder Hunderten Verzeichnissen diejenigen auswählen muss, auf die er Zugriff hat.

Whitepaper “Best Practices im Berechtigungsmanagement in Microsoft-Umgebungen

Für eine detaillierte technische und organisatorische Betrachtung holen Sie sich unser Whitepaper „Best Practices im Berechtigungsmanagement in Microsoft-Umgebungen“

  • Wie funktionieren NTFS Berechtigungen im Detail?
  • Welche Fehler werden häufig beim “NTFS Berechtigungen setzen” gemacht?
  • Was sind die Best Practices im Umgang mit NTFS Berechtigungen?
  • Wie werden NTFS Berechtigungen einfach ausgelesen?
  • Wie wird die Vergabe von NTFS Berechtigungen optimal dokumentiert?