NTFS-Zugriffsrechte mit Berechtigungen für Freigaben kombinieren

Die Zweiteilung blieb bis heute erhalten, obwohl NTFS wesentlich feiner abgestufte Rechte vergeben kann als dies für freigegebene Ordner möglich ist.

NTFS-Berechtigungen

Im Unterschied zu den Dateirechten unter Unix sind jene unter Windows teilweise kumulativ, das heißt, ein höheres Recht kann niedrigere enthalten. Wer das Recht Ändern besitzt, darf auch lesen, schreiben und ausführen.

Die ursprünglichen elementaren Rechte Lesen, Schreiben, Ausführen, Ändern und Vollzugriff wurden im Lauf der Zeit um Ordnerinhalt auflisten erweitert und auf zahlreiche Teilrechte heruntergebrochen.

Die folgende Tabelle aus der Windows-Hilfe zeigt das daraus resultierende, relativ komplizierte Rechte­system:

Rechte werden an Dateien und Unterverzeichnisse vererbt

Außerdem kennt NTFS das Prinzip der Rechtevererbung, so dass neu angelegte Ordner und Dateien die Zugriffsbeschränkungen des übergeordneten Verzeichnisses erhalten, während sie unter Linux/UNIX mit umask vorgegeben werden. Will man diese Voreinstellung deaktivieren, muss man die Option Vererbbare Berechtigungen des übergeordneten Objekts einschließen abwählen.

Die Zuweisung von Rechten an Benutzer erfolgt häufig mehrfach, wenn sie Mitglied in mehreren Gruppen sind. In diesem Fall gilt die großzügigste Regelung, egal ob ein Recht dem Benutzer individuell oder über die Mitgliedschaft in einer Gruppe zuteil wurde.

Die Option Verweigern dient vornehmlich dazu, einem Benutzer ein Recht explizit zu entziehen, das er über seine Zugehörigkeit zu einer Gruppe erhalten würde.

Bei den NTFS-Zugriffsrechten sind zusätzlich folgende Eigenheiten zu berück­sichtigen:

• Rechte auf Dateien sind stärker als auf die sie enthaltenden Ordner. Wer für eine bestimmte Datei das Recht ändern erhalten hat, darf das auch, selbst wenn die Ordnerrechte nur das Lesen der enthaltenen Dateien vorsehen. Ein Ausnahme davon ist der Vollzugriff auf das Verzeichnis, der alle Einschränkungen auf Dateiebene außer Kraft setzt.
• Wenn man ein Verzeichnis oder eine Datei innerhalb eines Volumes oder auf ein anderes Volume kopiert, erhält es die Einstellungen des Zielverzeichnisses.
• Wenn man ein Verzeichnis an einen anderen Ort auf dem gleichen Volume verschiebt, dann bleiben die Zugriffsrechte erhalten. Verschiebt man es jedoch auf ein anderes Volume, erbt es die Zugriffsrechte des Zielverzeichnisses.

Freigabeberechtigungen

Gibt man ein Verzeichnis für den Zugriff über das Netz frei, dann wird man mit einem weiteren Rechtesystem konfrontiert, jener Erbschaft des LAN Managers. Dieses ist nützlich, wenn die Zielmaschine noch FAT32 verwendet und das Dateisystem die Zugriffsrechte nicht einschränken kann.

Die bei der Freigabe einstellbaren Berechtigungen sind weit weniger granular als jene von NTFS. Sie reduzieren sich auf Lesen, Ändern und Vollzugriff. Das Leserecht ist außerdem nicht identisch mit jenem von NTFS, es erlaubt nicht nur das Anzeigen von Datei- und Verzeichnisinhalten, sondern auch das Ausführen von Anwendungen.

Um zu ermitteln, welche Rechte ein Benutzer beim Zugriff über das Netz tatsächlich hat, muss man die effektiven NTFS-Rechte mit den Freigabeberechtigungen kombinieren.

Dabei gilt die Regel, dass sich die restriktivere Variante durchsetzt. Während sich also bei Mitgliedschaften in mehreren Gruppen die liberalste Einstellung durchsetzt, behält im Konflikt zwischen NTFS und einer Freigabe die strengere Regel die Oberhand.

Bei der Kombination der beiden Rechtesysteme ist es nicht unwahrscheinlich, dass ein und derselbe Benutzer verschiedene Zugriffsmöglichkeiten auf eine Ressource hat, je nachdem ob er sie lokal oder über das Netz anspricht.

Da es für eine solche Inkonsistenz normalerweise keinen vernünftigen Grund gibt, besteht die bevorzugte Lösung darin, die Benutzer bei der Freigabe generell mit Vollzugriff auszustatten und die tatsächliche Rechtevergabe über das feiner abgestufte NTFS zu verwalten.