Best Practices zur Verwaltung von NTFS-Berechtigungen

    NTFS-Zugriffsrechte für Ordner regeln.Egal, ob man sich in der Planungs­phase befindet oder bereits NTFS-Berech­tigungen imple­mentiert hat, die fol­genden Vor­gehens­weisen werden helfen, die Ver­waltung von Datei­rechten effizienter und sicherer zu machen. Sie verein­fachen auch das Trouble­shooting, etwa wenn Admins Zugriffs­probleme analysieren müssen.

    Hier sind sieben Empfehlungen, die sich bei der Verwaltung von NTFS-Berechtigungen bewährt haben.

    FULL CONTROL für Shares und NTFS-Berechtigungen auf Ordner

    Aus historischen Gründen kann man unter Windows zusätzlich zu den Berechtigungen, die man im Datei­system definiert, noch Rechte auf freigegebene Ordner vergeben. Das Nebeneinander von NTFS- und Share-Berechtigungen geht zu Lasten der Transparenz und führt zu einem inkon­sistenten Benutzer­erlebnis, wenn zum Beispiel der Zugriff auf Dateien, die man lokal bearbeiten darf, über das Netz verweigert wird.

    Die Berechtigungen für Freigaben sollte man stets auf Vollzugriff setzen.

    Die Lösung besteht darin, dass man Benutzers auf Netz­freigaben grundsätzlich vollen Zugriff gewährt und das tatsächliche Rechte-Management auf die NTFS-Ebene verlagert. So wird es auch von Microsoft vorgeschlagen.

    Ordner nur für AD-Gruppen freigeben, aber nicht für Benutzer

    Diese Praxis vereinfacht die Verwaltung deutlich. Warum? Angenommen, wir geben den Ordner Verkauf für 10 Mitarbeiter in der Sales-Abteilung frei, und berechtigen dafür jeden Mitarbeiter einzeln. Dies hört sich noch relativ einfach an.

    Berechtigungen sollte man nur an Gruppen und nicht an einzelne User vergeben.

    Aber wie wäre es mit 100 Mitarbeitern? Natürlich, auch diese Aufgabe ist mit Aufwand noch machbar. Aber es wäre doch viel einfacher, wenn man diese Benutzer in einer Gruppe namens "Verkauf" zusammen­fassen würde, um dann diese Gruppe auf den Ordner berechtigt.

    Spätestens wenn ein Mitarbeiter in eine andere Abteilung wechselt oder das Unter­nehmen verlässt, zeigen sich die Vorzüge eines gruppen­basierten Verwaltung. In diesem Fall reicht es, die Mitglied­schaft der betref­fenden Person zu ändern.

    Ressourcen gruppieren

    Die Redewendung "Lege nicht alle Eier in denselben Korb" lässt die Grundidee schon erahnen: Anwendungs- und Benutzerdateien, zum Beispiel Office-Dokumente, sollten getrennt und in jeweils in ihre eigenen Ordner abgelegt werden. Des Weiteren sollte man die Verzeichnisse mit den gleichen Sicherheits­anforderungen zusammen­legen, um die Verwaltung zu vereinfachen.

    Wenn Benutzer zum Beispiel die Lese­berechtigung für mehrere Anwendungs­ordner benötigen, dann sollte man diese in einem einzigen Verzeichnis zusammen­fassen. So muss nur der übergeordnete Ordner freigegeben werden, und nicht jeder einzelne Anwendungs­ordner.

    Es ist auch wesentlich einfacher, die Berechtigungen von Anwendungs- oder Datenordnern zu verwalten, wenn diese getrennt gespeichert werden.

    READ & EXECUTE für Anwendungsordner

    Wenn man Berechtigungen für Anwendungs­ordner vergibt, dann sollte man den Berechtigungs­gruppen Lese- und Ausführungs­rechte erteilen. Sie erlauben nur das Anzeigen, Lesen und Ausführen (sofern es eine ausführbare Datei ist).

    Lese- und Ausführungsberechtigungen verhindern Datenverluste.

    Dieses Vorgehen könnte Dateien davor bewahren, von Benutzern oder Computer-Viren versehentlich gelöscht oder beschädigt zu werden.

    Nur die nötigsten Berechtigungen

    Ein guter Ansatz ist es, dass man grundsätzlich nur die minimal notwendigen NTFS-Berechtigungen zuweist, die Benutzer benötigen, um ihre Aufgaben auszuführen. Wenn etwa ein Mitarbeiter Informationen nur lesen soll, dann weist man ihn über die Berechtigungs­gruppe eben nur das Leserecht zu. Dadurch unterbindet man unbefugten Zugriff auf wichtige Dateien und erhöht insgesamt die Sicherheit.

    In einer komplexen Umgebung kann es jedoch schnell zu einer Über­privilegierung kommen, so dass Benutzer über Rechte verfügen, die ihnen nicht zustehen. Das kann insbesondere dann geschehen, wenn Benutzer mehreren Gruppen angehören.

    Eine Reihe von einschlägigen Reporting-Tools lassen sich die Berechtigungen jedes einzelnen Benutzers auswerten und der Admin kann unverzüglich übermäßig vergebene Rechte entziehen.

    Intuitive Namenskonventionen

    Vergibt man selbst­dokumen­tierende Share-Namen, so hilft dies den Anwendern, ihre Daten leichter zu finden. So trivial, wie sich dies auch anhören mag, kann eine intuitive Namens­konvention unnötige Anrufe oder E-Mails von Mitarbeitern ersparen, die sich nicht sicher sind, wo sich die gesuchten Dateien befinden.

    Intuitive Namen für Freigaben helfen Benutzern bei Arbeiten mit Netzlaufwerken.

    Ebenfalls sollte man darauf achten, nur Namen für Freigaben zu verwenden, die von allen Client-Betriebs­systemen vollständig gelesen werden können.

    Dokumentation

    Jeder IT-Administrator kennt das leidige Thema der Dokumentation. Es ist aber wichtig, die Struktur, das Vorgehen (Prozesse), die Berechtigungen, die AD-Gruppen und die Konvention zu dokumentieren. Es ist immer wieder hilfreich, wenn mal eben schnell nachschlagen kann, wer über welche Zugriffsrechte verfügt und warum.

    Sie dient zudem als Leitfaden, wie man neue Ordner in die Struktur aufnimmt und analog der bisherigen Vorgehens­weise berechtigt. Verfügen alle Admini­stratoren über dieses Wissens, dann sollte ein Wild­wuchs vermieden werden können. Veränderungen in der Organisation sind unvermeidlich, daher muss die Dokumentation einfach erweiterbar und flexibel sein.

    Nützliche Ressourcen

    Wollen Sie mehr über NTFS- und Share-Berechtigungen erfahren? Hier finden Sie zwei kostenlose E-Books zum Thema (keine Registrierung).

    Keine Kommentare