NTFS-Rechte zurücksetzen und Besitzer ändern mit kostenloser GUI

Die direkte Vergabe von Berechtigungen für bestimmte Dateien an einzelne Benutzer ist keine gute Praxis, weil man auf diese Weise schnell die Übersicht verliert und daraus Sicherheits­probleme erwachsen können.

Um einen derartigen Wildwuchs zu beseitigen, kann man die Berechtigungen auf Dateien und Ordner global zurücksetzen. Auf diese Weise gehen alle direkt zugewiesenen Rechte verloren. Bevor man sich an das Aufräumen macht, ist es sinnvoll, sich anzeigen zu lassen, wer welche Rechte auf welche Dateien hat.

Aktuelle Berechtigungen analysieren

Für diese Aufgabe gibt es mehrere kostenlose Tools. Dazu zählen etwa das schon in die Jahre gekommene DumpSec oder der komfortablere NTFS Permissions Reporter. Unter den kommerziellen Werk­zeugen eignet sich dafür der FolderSecurityView der Firma G-Tac.

Um nur herauszufinden, welche Dateien und Ordner über Berechtigungen verfügen, die nicht vererbt wurden, kann man auch zu PowerShell greifen. Folgender Befehl übergibt die von Get-ChildItem ermittelten Dateinamen an eine Schleife, in der Get-Acl herausfindet, welche davon einen nicht vererbten ACL-Eintrag enthalten:

Get-ChildItem | %{ $_.Name; (Get-Acl -Path $_ |
select -ExpandProperty Access |
% { if($_.IsInherited -eq $false){$_} } )
}

Möchte man nun alle nicht vererbten Berechtigungen zurücksetzen, dann kann man dies über icacls.exe und dem Schalter /reset tun. Das Tool nimmt eine Reihe weiterer Parameter, so dass man erst die Hilfe studieren muss, wenn man nicht regelmäßig damit arbeitet.

Aufruf von icalcs über Shell zusammenstellen

Hier kommt die kostenlose GUI von Elias Bachaalany ins Spiel, die dem Admin die Auseinander­setzung mit der Kommando­zeile vereinfacht. Es handelt sich dabei um eine Shell für icacls, die nach Auswahl der vorhandenen Optionen die Befehlszeile für das Dienstprogramm von Windows zusammenstellt.

Bevor man diese über die Schaltfläche Go abschickt, kann man sie bei Bedarf noch nachbearbeiten. Das empfiehlt sich etwa dann, wenn man nicht alle Dateien in einem Ordner zurücksetzen möchte. Die GUI erlaubt nämlich nur die Auswahl von Verzeichnissen, so dass man in diesem Fall die Dateimaske anpassen muss. Standardmäßig besteht sie nur aus dem Wildcard '*'.

Neben dem Reset unterstützt das Tool auch das Sichern der vorhandenen Berechtigungen, so dass man diese im Notfall wiederherstellen kann. Auch der Restore lässt sich über die GUI anstoßen.

Befehl im Kontextmenü des Explorer

Besonders praktisch ist die Möglichkeit, den Befehl zum Zurücksetzen der Berechtigungen in das Kontextmenü von Dateien und Ordnern im Explorer aufzunehmen. Dieser lässt sich jederzeit wieder entfernen. Unschön an der Realisierung dieses Menüeintrags ist indes, dass er sich bei jeder Datei findet, unabhängig davon, ob es dort überhaupt Abweichungen von den vererbten Rechten gibt.

Besitz an Dateien übernehmen

Neben icacls kann die GUI zudem takeown aufrufen, um den Besitzer von Dateien zu ändern. Auch hier setzt es standardmäßig einen '*' für alle Dateien in einem Verzeichnisbaum, so dass man das Muster bei Bedarf anpassen muss.

Das Übertragen des Besitzes erfordert, dass dem künftigen Eigentümer dieses Recht erst eingeräumt werden muss, bevor er es wahr­nehmen kann. Dies lässt sich über dieses Tool jedoch nicht erledigen.

Dateiattribute entfernen

Schließlich kann man damit noch die Dateiattribute System und Versteckt entfernen. Dabei handelt es sich aber nur um einen simplen Aufruf von attrib -h -s, wofür man in der Regel keine Shell benötigt.

Verfügbarkeit

Das Tool Reset file permissions ändert Datei­berechtigungen nur auf dem lokalen Rechner bzw. File-Server. Es kann von der Website des Autors heruntergeladen werden. Das Passwort zum Entpacken der ZIP-Datei lautet lallouslab. Eine Installation des Programms ist nicht erforderlich.