Best Practices zur Verwaltung von NTFS-Berechtigungen

    , 28.06.2019, zuletzt aktualisiert am 29.06.2019
    Tags: ,

    NTFS-Zugriffsrechte für Ordner regeln.Egal, ob man sich in der Planungs­phase befindet oder bereits NTFS-Berech­tigungen imple­mentiert hat, die fol­genden Vor­gehens­weisen werden helfen, die Ver­waltung von Datei­rechten effizienter und sicherer zu machen. Sie verein­fachen auch das Trouble­shooting, etwa wenn Admins Zugriffs­probleme analysieren müssen.

    Hier sind sieben Empfehlungen, die sich bei der Verwaltung von NTFS-Berechtigungen bewährt haben.

    FULL CONTROL für Shares und NTFS-Berechtigungen auf Ordner

    Aus historischen Gründen kann man unter Windows zusätzlich zu den Berechtigungen, die man im Datei­system definiert, noch Rechte auf freigegebene Ordner vergeben. Das Nebeneinander von NTFS- und Share-Berechtigungen geht zu Lasten der Transparenz und führt zu einem inkon­sistenten Benutzer­erlebnis, wenn zum Beispiel der Zugriff auf Dateien, die man lokal bearbeiten darf, über das Netz verweigert wird.

    Die Berechtigungen für Freigaben sollte man stets auf Vollzugriff setzen.

    Die Lösung besteht darin, dass man Benutzers auf Netz­freigaben grundsätzlich vollen Zugriff gewährt und das tatsächliche Rechte-Management auf die NTFS-Ebene verlagert. So wird es auch von Microsoft vorgeschlagen.

    Ordner nur für AD-Gruppen freigeben, aber nicht für Benutzer

    Diese Praxis vereinfacht die Verwaltung deutlich. Warum? Angenommen, wir geben den Ordner Verkauf für 10 Mitarbeiter in der Sales-Abteilung frei, und berechtigen dafür jeden Mitarbeiter einzeln. Dies hört sich noch relativ einfach an.

    Berechtigungen sollte man nur an Gruppen und nicht an einzelne User vergeben.

    Aber wie wäre es mit 100 Mitarbeitern? Natürlich, auch diese Aufgabe ist mit Aufwand noch machbar. Aber es wäre doch viel einfacher, wenn man diese Benutzer in einer Gruppe namens "Verkauf" zusammen­fassen würde, um dann diese Gruppe auf den Ordner berechtigt.

    Spätestens wenn ein Mitarbeiter in eine andere Abteilung wechselt oder das Unter­nehmen verlässt, zeigen sich die Vorzüge eines gruppen­basierten Verwaltung. In diesem Fall reicht es, die Mitglied­schaft der betref­fenden Person zu ändern.

    Ressourcen gruppieren

    Die Redewendung "Lege nicht alle Eier in denselben Korb" lässt die Grundidee schon erahnen: Anwendungs- und Benutzerdateien, zum Beispiel Office-Dokumente, sollten getrennt und in jeweils in ihre eigenen Ordner abgelegt werden. Des Weiteren sollte man die Verzeichnisse mit den gleichen Sicherheits­anforderungen zusammen­legen, um die Verwaltung zu vereinfachen.

    Wenn Benutzer zum Beispiel die Lese­berechtigung für mehrere Anwendungs­ordner benötigen, dann sollte man diese in einem einzigen Verzeichnis zusammen­fassen. So muss nur der übergeordnete Ordner freigegeben werden, und nicht jeder einzelne Anwendungs­ordner.

    Es ist auch wesentlich einfacher, die Berechtigungen von Anwendungs- oder Datenordnern zu verwalten, wenn diese getrennt gespeichert werden.

    READ & EXECUTE für Anwendungsordner

    Wenn man Berechtigungen für Anwendungs­ordner vergibt, dann sollte man den Berechtigungs­gruppen Lese- und Ausführungs­rechte erteilen. Sie erlauben nur das Anzeigen, Lesen und Ausführen (sofern es eine ausführbare Datei ist).

    Lese- und Ausführungsberechtigungen verhindern Datenverluste.

    Dieses Vorgehen könnte Dateien davor bewahren, von Benutzern oder Computer-Viren versehentlich gelöscht oder beschädigt zu werden.

    Nur die nötigsten Berechtigungen

    Ein guter Ansatz ist es, dass man grundsätzlich nur die minimal notwendigen NTFS-Berechtigungen zuweist, die Benutzer benötigen, um ihre Aufgaben auszuführen. Wenn etwa ein Mitarbeiter Informationen nur lesen soll, dann weist man ihn über die Berechtigungs­gruppe eben nur das Leserecht zu. Dadurch unterbindet man unbefugten Zugriff auf wichtige Dateien und erhöht insgesamt die Sicherheit.

    In einer komplexen Umgebung kann es jedoch schnell zu einer Über­privilegierung kommen, so dass Benutzer über Rechte verfügen, die ihnen nicht zustehen. Das kann insbesondere dann geschehen, wenn Benutzer mehreren Gruppen angehören.

    Eine Reihe von einschlägigen Reporting-Tools lassen sich die Berechtigungen jedes einzelnen Benutzers auswerten und der Admin kann unverzüglich übermäßig vergebene Rechte entziehen.

    Intuitive Namenskonventionen

    Vergibt man selbst­dokumen­tierende Share-Namen, so hilft dies den Anwendern, ihre Daten leichter zu finden. So trivial, wie sich dies auch anhören mag, kann eine intuitive Namens­konvention unnötige Anrufe oder E-Mails von Mitarbeitern ersparen, die sich nicht sicher sind, wo sich die gesuchten Dateien befinden.

    Intuitive Namen für Freigaben helfen Benutzern bei Arbeiten mit Netzlaufwerken.

    Ebenfalls sollte man darauf achten, nur Namen für Freigaben zu verwenden, die von allen Client-Betriebs­systemen vollständig gelesen werden können.

    Dokumentation

    Jeder IT-Administrator kennt das leidige Thema der Dokumentation. Es ist aber wichtig, die Struktur, das Vorgehen (Prozesse), die Berechtigungen, die AD-Gruppen und die Konvention zu dokumentieren. Es ist immer wieder hilfreich, wenn mal eben schnell nachschlagen kann, wer über welche Zugriffsrechte verfügt und warum.

    Sie dient zudem als Leitfaden, wie man neue Ordner in die Struktur aufnimmt und analog der bisherigen Vorgehens­weise berechtigt. Verfügen alle Admini­stratoren über dieses Wissens, dann sollte ein Wild­wuchs vermieden werden können. Veränderungen in der Organisation sind unvermeidlich, daher muss die Dokumentation einfach erweiterbar und flexibel sein.

    Nützliche Ressourcen

    Wollen Sie mehr über NTFS- und Share-Berechtigungen erfahren? Hier finden Sie zwei kostenlose E-Books zum Thema (keine Registrierung).

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Carsten Schäfer

    Carsten Schäfer ist Gründer und Inhaber von G-TAC Software in Katz­weiler. Er entwickelt Software für Windows-Admini­stratoren, darunter den Folder­Security­Viewer zur Analyse von NTFS-Berech­tigungen.

    // Kontakt: E-Mail, Twitter, Xing //

    Verwandte Beiträge

    Weitere Links

    2 Kommentare

    Michael R. Breyer (Besucher) sagt:
    14. September 2020 - 22:01

    Sehr geehrter Herr Schäfer, mit Interesse habe ich ihren Artikel gelesen. Ich bin Rentner und nutze Windows 7 & 10 (leider) und Linux. Als Sicherungsmedium verwende ich ein externes USB-Laufwerk mit einem NTFS-Dateisystem. Dabei gibt es immer wieder Schwierigkeiten bei Zugriffen von Windows 7 oder Linux (smb/cifs) auf Verzeichnisse, die unter Windows 10 erstellt wurden.
    Um dennoch Zugriff zu erhalten nutze ich icacls oder MobaXterm um Berechtigungen zu setzen. Dabei geht Zugriff vor Sicherheit. Gibt es eine Anleitung, die die verschiedenen Berechtigungen Windows 7/10 und Linux SMB/CIFS berücksichtigt? Ihr Link zu den eBooks (zwei kostenlose E-Books) geht leider ins Leere. Eine Anleitung muss auch nicht kostenlos sein - die üblichen Beraterstunden könnte ich allerdings nicht bezahlen.
    Freundliche Grüße Michael Breyer

    Marco (Besucher) sagt:
    15. März 2023 - 11:22

    Hallo,

    die Tipps sind alle sehr nützlich. Ein wichtiger Tipp fehlt mir aber noch: Man sollte Berechtigungen möglichst durchvererben. Änderungen der Berechtigungen sollten maximal in der zweiten Ordnerstufe stattfinden. Ohne spezielle Tools, um Änderungen der Berechtigungen sichtbar zu machen, hat man ansonsten gar keine Chance.
    Es wurde ja bereits angesprochen, dass ausschließlich Gruppen benutzt werden sollen. Das kann ich nur unterstreichen und ergänzen: Hat man sehr viele Dateien, dauert das Setzen von Berechtigungen extrem lange - oft mehrere Stunden pro Ast im Dateibaum. Hier lohnt es sich, generische Gruppen zu erstellen. Für einen Ordner Projekte bspw. "Projekte_FullAccess", "Projekte_ReadOnly" und "Projekte_Deny", und diese durchzuvererben. In der FullAccess-Gruppe wird nun der Fileserver-Admin Mitglied, in der ReadOnly-Gruppe kann bspw. der Chef oder auch ein Suchindexer oder der Backup-Nutzer Mitglied werden (letzterer muss aber das Archiv-Bit setzen dürfen), ohne langes Rechtesetzen. Die FullAccess-Gruppe wird auch der Besitzer, Benutzer haben maximal Schreibrechte und dürfen Berechtigungen nicht ändern. Das verhindert den Ausschluss des Admins oder des Backup-Nutzers. Falls ein Mitarbeiter in Ungnade fällt, kann er sofort in die Deny-Gruppe aufgenommen werden, die natürlich statt "Allow" die "Deny"-Berechtigung zugewiesen hat. Normalerweise werden auch hier keine Einzelpersonen Mitglied der Access-Gruppen, sondern auch wieder Gruppen. Somit kann man ein Rollenmodell aufbauen.
    Der einzige Ort, an dem Nutzer direkt berechtigt werden, ist das persönliche Nutzerverzeichnis.