Tags: NTFS, Rechteverwaltung
Egal, ob man sich in der Planungsphase befindet oder bereits NTFS-Berechtigungen implementiert hat, die folgenden Vorgehensweisen werden helfen, die Verwaltung von Dateirechten effizienter und sicherer zu machen. Sie vereinfachen auch das Troubleshooting, etwa wenn Admins Zugriffsprobleme analysieren müssen.
Hier sind sieben Empfehlungen, die sich bei der Verwaltung von NTFS-Berechtigungen bewährt haben.
FULL CONTROL für Shares und NTFS-Berechtigungen auf Ordner
Aus historischen Gründen kann man unter Windows zusätzlich zu den Berechtigungen, die man im Dateisystem definiert, noch Rechte auf freigegebene Ordner vergeben. Das Nebeneinander von NTFS- und Share-Berechtigungen geht zu Lasten der Transparenz und führt zu einem inkonsistenten Benutzererlebnis, wenn zum Beispiel der Zugriff auf Dateien, die man lokal bearbeiten darf, über das Netz verweigert wird.
Die Lösung besteht darin, dass man Benutzers auf Netzfreigaben grundsätzlich vollen Zugriff gewährt und das tatsächliche Rechte-Management auf die NTFS-Ebene verlagert. So wird es auch von Microsoft vorgeschlagen.
Ordner nur für AD-Gruppen freigeben, aber nicht für Benutzer
Diese Praxis vereinfacht die Verwaltung deutlich. Warum? Angenommen, wir geben den Ordner Verkauf für 10 Mitarbeiter in der Sales-Abteilung frei, und berechtigen dafür jeden Mitarbeiter einzeln. Dies hört sich noch relativ einfach an.
Aber wie wäre es mit 100 Mitarbeitern? Natürlich, auch diese Aufgabe ist mit Aufwand noch machbar. Aber es wäre doch viel einfacher, wenn man diese Benutzer in einer Gruppe namens "Verkauf" zusammenfassen würde, um dann diese Gruppe auf den Ordner berechtigt.
Spätestens wenn ein Mitarbeiter in eine andere Abteilung wechselt oder das Unternehmen verlässt, zeigen sich die Vorzüge eines gruppenbasierten Verwaltung. In diesem Fall reicht es, die Mitgliedschaft der betreffenden Person zu ändern.
Ressourcen gruppieren
Die Redewendung "Lege nicht alle Eier in denselben Korb" lässt die Grundidee schon erahnen: Anwendungs- und Benutzerdateien, zum Beispiel Office-Dokumente, sollten getrennt und in jeweils in ihre eigenen Ordner abgelegt werden. Des Weiteren sollte man die Verzeichnisse mit den gleichen Sicherheitsanforderungen zusammenlegen, um die Verwaltung zu vereinfachen.
Wenn Benutzer zum Beispiel die Leseberechtigung für mehrere Anwendungsordner benötigen, dann sollte man diese in einem einzigen Verzeichnis zusammenfassen. So muss nur der übergeordnete Ordner freigegeben werden, und nicht jeder einzelne Anwendungsordner.
Es ist auch wesentlich einfacher, die Berechtigungen von Anwendungs- oder Datenordnern zu verwalten, wenn diese getrennt gespeichert werden.
READ & EXECUTE für Anwendungsordner
Wenn man Berechtigungen für Anwendungsordner vergibt, dann sollte man den Berechtigungsgruppen Lese- und Ausführungsrechte erteilen. Sie erlauben nur das Anzeigen, Lesen und Ausführen (sofern es eine ausführbare Datei ist).
Dieses Vorgehen könnte Dateien davor bewahren, von Benutzern oder Computer-Viren versehentlich gelöscht oder beschädigt zu werden.
Nur die nötigsten Berechtigungen
Ein guter Ansatz ist es, dass man grundsätzlich nur die minimal notwendigen NTFS-Berechtigungen zuweist, die Benutzer benötigen, um ihre Aufgaben auszuführen. Wenn etwa ein Mitarbeiter Informationen nur lesen soll, dann weist man ihn über die Berechtigungsgruppe eben nur das Leserecht zu. Dadurch unterbindet man unbefugten Zugriff auf wichtige Dateien und erhöht insgesamt die Sicherheit.
In einer komplexen Umgebung kann es jedoch schnell zu einer Überprivilegierung kommen, so dass Benutzer über Rechte verfügen, die ihnen nicht zustehen. Das kann insbesondere dann geschehen, wenn Benutzer mehreren Gruppen angehören.
Eine Reihe von einschlägigen Reporting-Tools lassen sich die Berechtigungen jedes einzelnen Benutzers auswerten und der Admin kann unverzüglich übermäßig vergebene Rechte entziehen.
Intuitive Namenskonventionen
Vergibt man selbstdokumentierende Share-Namen, so hilft dies den Anwendern, ihre Daten leichter zu finden. So trivial, wie sich dies auch anhören mag, kann eine intuitive Namenskonvention unnötige Anrufe oder E-Mails von Mitarbeitern ersparen, die sich nicht sicher sind, wo sich die gesuchten Dateien befinden.
Ebenfalls sollte man darauf achten, nur Namen für Freigaben zu verwenden, die von allen Client-Betriebssystemen vollständig gelesen werden können.
Dokumentation
Jeder IT-Administrator kennt das leidige Thema der Dokumentation. Es ist aber wichtig, die Struktur, das Vorgehen (Prozesse), die Berechtigungen, die AD-Gruppen und die Konvention zu dokumentieren. Es ist immer wieder hilfreich, wenn mal eben schnell nachschlagen kann, wer über welche Zugriffsrechte verfügt und warum.
Sie dient zudem als Leitfaden, wie man neue Ordner in die Struktur aufnimmt und analog der bisherigen Vorgehensweise berechtigt. Verfügen alle Administratoren über dieses Wissens, dann sollte ein Wildwuchs vermieden werden können. Veränderungen in der Organisation sind unvermeidlich, daher muss die Dokumentation einfach erweiterbar und flexibel sein.
Nützliche Ressourcen
Wollen Sie mehr über NTFS- und Share-Berechtigungen erfahren? Hier finden Sie zwei kostenlose E-Books zum Thema (keine Registrierung).
Täglich Know-how für IT-Pros mit unserem Newsletter
Carsten Schäfer ist Gründer und Inhaber von G-TAC Software in Katzweiler. Er entwickelt Software für Windows-Administratoren, darunter den FolderSecurityViewer zur Analyse von NTFS-Berechtigungen.
Verwandte Beiträge
- NTFS-Berechtigungen über Gruppenrichtlinien anpassen
- Access Manager: Wiedervorlage für Mitgliedschaften in AD-Gruppen und für NTFS-Rechte
- FolderSecurityViewer 2.0: Reports für Verzeichnis- und Freigaberechte, Owner und User-Berechtigungen
- FolderSecurityViewer 1.15: Report pro User, Berichtschablonen, CLI-Programm
- BAYOOSOFT Access Manager: Ordner-Berechtigungen über Workflows vergeben
Weitere Links
2 Kommentare
Sehr geehrter Herr Schäfer, mit Interesse habe ich ihren Artikel gelesen. Ich bin Rentner und nutze Windows 7 & 10 (leider) und Linux. Als Sicherungsmedium verwende ich ein externes USB-Laufwerk mit einem NTFS-Dateisystem. Dabei gibt es immer wieder Schwierigkeiten bei Zugriffen von Windows 7 oder Linux (smb/cifs) auf Verzeichnisse, die unter Windows 10 erstellt wurden.
Um dennoch Zugriff zu erhalten nutze ich icacls oder MobaXterm um Berechtigungen zu setzen. Dabei geht Zugriff vor Sicherheit. Gibt es eine Anleitung, die die verschiedenen Berechtigungen Windows 7/10 und Linux SMB/CIFS berücksichtigt? Ihr Link zu den eBooks (zwei kostenlose E-Books) geht leider ins Leere. Eine Anleitung muss auch nicht kostenlos sein - die üblichen Beraterstunden könnte ich allerdings nicht bezahlen.
Freundliche Grüße Michael Breyer
Hallo,
die Tipps sind alle sehr nützlich. Ein wichtiger Tipp fehlt mir aber noch: Man sollte Berechtigungen möglichst durchvererben. Änderungen der Berechtigungen sollten maximal in der zweiten Ordnerstufe stattfinden. Ohne spezielle Tools, um Änderungen der Berechtigungen sichtbar zu machen, hat man ansonsten gar keine Chance.
Es wurde ja bereits angesprochen, dass ausschließlich Gruppen benutzt werden sollen. Das kann ich nur unterstreichen und ergänzen: Hat man sehr viele Dateien, dauert das Setzen von Berechtigungen extrem lange - oft mehrere Stunden pro Ast im Dateibaum. Hier lohnt es sich, generische Gruppen zu erstellen. Für einen Ordner Projekte bspw. "Projekte_FullAccess", "Projekte_ReadOnly" und "Projekte_Deny", und diese durchzuvererben. In der FullAccess-Gruppe wird nun der Fileserver-Admin Mitglied, in der ReadOnly-Gruppe kann bspw. der Chef oder auch ein Suchindexer oder der Backup-Nutzer Mitglied werden (letzterer muss aber das Archiv-Bit setzen dürfen), ohne langes Rechtesetzen. Die FullAccess-Gruppe wird auch der Besitzer, Benutzer haben maximal Schreibrechte und dürfen Berechtigungen nicht ändern. Das verhindert den Ausschluss des Admins oder des Backup-Nutzers. Falls ein Mitarbeiter in Ungnade fällt, kann er sofort in die Deny-Gruppe aufgenommen werden, die natürlich statt "Allow" die "Deny"-Berechtigung zugewiesen hat. Normalerweise werden auch hier keine Einzelpersonen Mitglied der Access-Gruppen, sondern auch wieder Gruppen. Somit kann man ein Rollenmodell aufbauen.
Der einzige Ort, an dem Nutzer direkt berechtigt werden, ist das persönliche Nutzerverzeichnis.