NTFS-Zugriffsrechte beim Kopieren und Verschieben vererben

    … und kopiert oder verschiebt anschließend eine Datei hinein, auf die man alle Rechte besitzt. Diese lässt sich danach nicht löschenJede Datei und jeder Ordner, die oder auf einem NTFS-Datenträger erstellt wird, erhält damit – neben anderen Attributen wie etwa dem Dateinamen, den Datumsstempeln und dem Inhalt – einen voreingestellten Satz an Zugriffsrechten. Diese definieren, welcher Benutzer welche Berechtigungen für diese Datei oder diesen Ordner besitzt. Welche Rechte voreingestellt sind, ist im Prinzip einfach: Der Ordner, in welchem die neue Datei oder der Ordner entsteht, vererbt seine eigenen Rechte an die „Kinder“.

    Kopieren oder Verschieben: Das sind die Unterschiede

    Werden Dateien oder Ordner kopiert oder verschoben, gilt diese Grundregel im Prinzip ebenso. Aus der gleichen Regel für die Zugriffsrechte beim Kopieren und Verschieben folgen aber unterschiedliche Ergebnisse. Diese Regeln gelten bis Windows XP/Windows Server 2008:

    • Kopieren bedeutet für das Dateisystem die Erstellung einer neuen Datei (mit dem Namen und dem Inhalt der Quelldatei) oder eines neuen Ordners am Zielort, das heißt also, sie bekommt per Vererbung die Berechtigungen des Zielordners.
    • Verschieben innerhalb eines Volumes ist aus Sicht des Dateisystems jedoch etwas anderes: Die ursprüngliche Datei oder der ursprüngliche Ordner erhält lediglich einen neuen Pfad-Eintrag, neu erstellt wird hier nichts. Folglich sind auch am neuen Ort die Zugriffsrechte noch die alten, es findet keine Vererbung statt.
    • Verschieben zwischen zwei Volumes stellt aus Dateisystem-Sicht wiederum gar kein Verschieben dar: Erst wird die Datei oder der Ordner auf das Ziel-Volume kopiert, dann auf dem Quell-Volume gelöscht, da diese jeweils eigene Dateisystem-Wurzeln besitzen. Es werden also die Zugriffsrechte des Zielordners vererbt wie beim Kopieren auch, da Dateisystem-Objekte neu erstellt werden.

    Für Benutzer und Administratoren ist das unbefriedigend. Zwar gelten klare Regeln, und man kommt dadurch, dass man sich vergegenwärtigt, was aus Sicht des Dateisystems geschieht, immer auf das richtige Ergebnis. Doch erstens ist es für Benutzer nicht zumutbar, sich bei der täglichen Arbeit in das Innenleben von NTFS hineinzuversetzen, zweitens bedeutet heutzutage „Volume“ nicht mehr „Laufwerksbuchstabe“, da sie stattdessen auch in einem leeren Ordner bereitgestellt werden können. Beim Verschieben weiß man also – ob nun Benutzer oder Administrator – unter Umständen gar nicht, dass man gerade eine Volume-Grenze überschreitet.

    Zugriffsrechte-Vererbung beim Verschieben: Neue Regeln ab Windows Vista

    Einfaches Testcase für Zugriffsrechte-Vererbung: Zunächst entzieht man sich selbst die Löschrechte für einen Ordner …Um diesem Problem zu begegnen, hat Microsoft ab Windows Vista/Windows Server 2008 R2 die Regeln geändert – die Sicht des Dateisystems dominiert nicht mehr. Verschobene Dateien und Ordner erben nun, genau wie beim Kopieren, immer die Berechtigungen ihres übergeordneten Ordners, ob nun Volume-Grenzen überschritten werden oder nicht. Das macht derartige Operationen übersichtlicher, da man Volume-Grenzen nicht mehr beachten muss und theoretisch ein zuverlässig vorhersagbares Verhalten bei jeder Verschiebeoperation erhält.

    Leider nur theoretisch: Offensichtlich wurde die Korrektur nicht im Dateisystem selbst vorgenommen, sondern eine automatische Korrektur bei jeder Verschiebeoperation eingebaut. Das funktioniert aber derzeit nicht immer, es kommt also auf das Tool an, mit dem man die Dateien und/oder Ordner verschiebt

    Beispiel: Datei-Operationen im Explorer verhalten sich den neuen Regeln entsprechend, Robocopy ebenfalls. Bei Verschiebungen aus der Eingabeaufforderung mit dem move-Befehl der cmd.exe sind weiterhin die alten XP-Regeln aktiv. Administratoren müssen wissen, dass hier ein Reparaturversuch von Microsoft nur teilweise erfolgreich war und beim Einsatz von Software im Unternehmen gegebenenfalls deren Verhalten bei Dateioperationen explizit testen.

    4 Kommentare

    Bild von hs
    hs sagt:
    29. Januar 2014 - 17:36

    Hallo!
    Wurde es in Windows 8 wieder geändert?

    Bild von egon
    egon sagt:
    25. März 2015 - 13:27

    Den Eindruck habe ich auch.

    Bild von Nils
    Nils sagt:
    10. April 2014 - 16:55

    Totaler Schrott - offenbar reparieren neuere Clients nur einen Logikfehler, der aber auf dem Server passiert. Eigentlich dürften die es mangels Rechte gar nicht. Ich fürchte fast, neuere Clients "erinnern" beim Verschieben den Server daran, die Rechte anzupassen... :-P

    Korrekt wäre, wenn NTFS beim Verschieben mit aktivierter Rechtevererbung diese automatisch entsprechend anpasst. Netware konnte das schon vor 20+ Jahren.

    Bild von Matthias
    Matthias sagt:
    30. März 2015 - 11:49

    Damit beim Verschieben die Rechte des Zielordners geerbt werden, gibt es für Windows 7 einen Hotfix.
    Dieser ermöglicht es den Key MoveSecurityAttributes =1 wieder funktionsfähig zu machen.

    Im kurzen Test funktioniert es aber sowohl mit als auch ohne Hotfix...
    http://www.active-directory-faq.de/2015/03/windows-7-geaendertes-verhalt...