Tags: Sicherheit, Dateisystem, Rechteverwaltung
Die Vergabe von Berechtigungen für Dateien und Verzeichnisse gehört zum täglichen Brot der Systemverwaltung. Unter Windows ist die Steuerung der Zugriffsrechte jedoch inkonsistent und sorgt gelegentlich für Zweifel, was eine Aktion tatsächlich bewirkt. Zusätzlich kompliziert wird die Rechtevergabe dadurch, dass Windows unterscheidet, ob ein Benutzer lokal oder über das Netz auf eine Ressource zugreift.
Diese separate Rechteverwaltung für lokale Ordner und Netzlaufwerke stammt noch aus den Anfängen von OS/2, als dessen Dateisystem noch kein Rechte-Management unterstützte. Für den Zugriff über das Netz auf OS/2-Server gab es ein eigenes Produkt namens LAN-Manager, das die Rechte für die entfernten Dateien und Verzeichnisse regelte.
Die Zweiteilung blieb bis heute erhalten, obwohl NTFS wesentlich feiner abgestufte Rechte vergeben kann als dies für freigegebene Ordner möglich ist.
NTFS-Berechtigungen
Im Unterschied zu den Dateirechten unter Unix sind jene unter Windows teilweise kumulativ, das heißt, ein höheres Recht kann niedrigere enthalten. Wer das Recht Ändern besitzt, darf auch lesen, schreiben und ausführen.
Die ursprünglichen elementaren Rechte Lesen, Schreiben, Ausführen, Ändern und Vollzugriff wurden im Lauf der Zeit um Ordnerinhalt auflisten erweitert und auf zahlreiche Teilrechte heruntergebrochen.
Die folgende Tabelle aus der Windows-Hilfe zeigt das daraus resultierende, relativ komplizierte Rechtesystem:
Spezielle Berechtigungen | Vollzugriff | Ändern | Lesen, Ausführen | Ordnerinhalt auflisten | Lesen | Schreiben |
---|---|---|---|---|---|---|
Ordner durchsuchen, Datei ausführen |
x | x | x | x | ||
Ordner auflisten, Daten lesen |
x | x | x | x | x | |
Attribute lesen | x | x | x | x | x | |
Erweiterte Attribute lesen |
x | x | x | x | x | |
Dateien erstellen, Daten schreiben |
x | x | x | |||
Ordner erstellen, Daten anhängen |
x | x | x | |||
Attribute schreiben | x | x | x | |||
Erweiterte Attribute schreiben | x | x | x | |||
Unterordner und Dateien löschen | x | |||||
Löschen | x | x | ||||
Berechtigungen lesen | x | x | x | x | x | x |
Berechtigungen ändern | x | |||||
Besitz übernehmen | x | |||||
Synchronisieren | x | x | x | x | x | x |
Rechte werden an Dateien und Unterverzeichnisse vererbt
Außerdem kennt NTFS das Prinzip der Rechtevererbung, so dass neu angelegte Ordner und Dateien die Zugriffsbeschränkungen des übergeordneten Verzeichnisses erhalten, während sie unter Linux/UNIX mit umask vorgegeben werden. Will man diese Voreinstellung deaktivieren, muss man die Option Vererbbare Berechtigungen des übergeordneten Objekts einschließen abwählen.
Die Zuweisung von Rechten an Benutzer erfolgt häufig mehrfach, wenn sie Mitglied in mehreren Gruppen sind. In diesem Fall gilt die großzügigste Regelung, egal ob ein Recht dem Benutzer individuell oder über die Mitgliedschaft in einer Gruppe zuteil wurde.
Die Option Verweigern dient vornehmlich dazu, einem Benutzer ein Recht explizit zu entziehen, das er über seine Zugehörigkeit zu einer Gruppe erhalten würde.
Bei den NTFS-Zugriffsrechten sind zusätzlich folgende Eigenheiten zu berücksichtigen:
- Rechte auf Dateien sind stärker als auf die sie enthaltenden Ordner. Wer für eine bestimmte Datei das Recht ändern erhalten hat, darf das auch, selbst wenn die Ordnerrechte nur das Lesen der enthaltenen Dateien vorsehen. Ein Ausnahme davon ist der Vollzugriff auf das Verzeichnis, der alle Einschränkungen auf Dateiebene außer Kraft setzt.
- Wenn man ein Verzeichnis oder eine Datei innerhalb eines Volumes oder auf ein anderes Volume kopiert, erhält es die Einstellungen des Zielverzeichnisses.
- Wenn man ein Verzeichnis an einen anderen Ort auf dem gleichen Volume verschiebt, dann bleiben die Zugriffsrechte erhalten. Verschiebt man es jedoch auf ein anderes Volume, erbt es die Zugriffsrechte des Zielverzeichnisses.
Freigabeberechtigungen
Gibt man ein Verzeichnis für den Zugriff über das Netz frei, dann wird man mit einem weiteren Rechtesystem konfrontiert, jener Erbschaft des LAN Managers. Dieses ist nützlich, wenn die Zielmaschine noch FAT32 verwendet und das Dateisystem die Zugriffsrechte nicht einschränken kann.
Die bei der Freigabe einstellbaren Berechtigungen sind weit weniger granular als jene von NTFS. Sie reduzieren sich auf Lesen, Ändern und Vollzugriff. Das Leserecht ist außerdem nicht identisch mit jenem von NTFS, es erlaubt nicht nur das Anzeigen von Datei- und Verzeichnisinhalten, sondern auch das Ausführen von Anwendungen.
Um zu ermitteln, welche Rechte ein Benutzer beim Zugriff über das Netz tatsächlich hat, muss man die effektiven NTFS-Rechte mit den Freigabeberechtigungen kombinieren.
Dabei gilt die Regel, dass sich die restriktivere Variante durchsetzt. Während sich also bei Mitgliedschaften in mehreren Gruppen die liberalste Einstellung durchsetzt, behält im Konflikt zwischen NTFS und einer Freigabe die strengere Regel die Oberhand.
Bei der Kombination der beiden Rechtesysteme ist es nicht unwahrscheinlich, dass ein und derselbe Benutzer verschiedene Zugriffsmöglichkeiten auf eine Ressource hat, je nachdem ob er sie lokal oder über das Netz anspricht.
Da es für eine solche Inkonsistenz normalerweise keinen vernünftigen Grund gibt, besteht die bevorzugte Lösung darin, die Benutzer bei der Freigabe generell mit Vollzugriff auszustatten und die tatsächliche Rechtevergabe über das feiner abgestufte NTFS zu verwalten.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
Weitere Links
2 Kommentare
Guten Tag
Interessanter Artikel, hat geholfen, lässt nur eine Frage offen:
Gibt es eine Möglichkeit, dass NUR Mitglieder der Gruppe Administratoren Ordner erstellen, umbenennen und löschen können und die Mitglieder der Gruppe Benutzer nur Dateien erstellen umbenennen bearbeiten und löschen können, nicht aber Ordner Anlegen, umbenenen und löschen können?
Würde mich über eine kleine Antwort freuen.
Viele liebe Grüsse
Ja, ich habe es so gelöst, dass ich im Register SICHERHEIT über ERWEITERT gehe, dann BERECHTIGUNG ÄNDERN, dann die Gruppe, welche ÄNDERN-RECHTE bekommen hat nochmals hinzufüge, dann bei der erweiterten Rechte-Vergabemaske oben bei ÜBERNEHMEN FÜR "Diesen Ordner" oder "Diesen Ordner und Unterordner" auswähle und unten in der rechten Spalte (VERWEIGERN) den Punkt LÖSCHEN aktiviere.
Ich hoffe, das hilft weiter.
Gruss
Huguito