NTFS-Berechtigungen über Gruppenrichtlinien anpassen


    Tags: , , ,

    Dateiberechtigungen Windows ExplorerWenn man die Zugriffs­rechte auf Verzeich­nisse für viele Rechner an­passen möchte, dann lässt sich auch diese Auf­gabe über die Gruppen­richt­linien erledigen. Damit spart man sich nicht nur die inter­aktive Konfi­guration, sondern stellt auch sicher, dass die Berech­tigungen künftig nicht mehr von der Vorgabe abweichen.

    Bei den meisten vom Betriebs­system vorgegebenen Verzeichnissen gibt es in der Regel keine Notwendigkeit, die Berechtigungen zu ändern. Ausnahmen bilden Schwachstellen wie CVE-2021-36934 ("HiveNightmare"), wodurch kritische Komponenten wie die SAM-Datenbank aufgrund von Fehl­konfiguration der Zugriffs­rechte nicht ausreichend geschützt sind.

    In diesem Fall würde es sich anbieten, die Berechtigungen per GPO auf allen betroffenen PCs in einen Zustand zu versetzen, wie von Microsoft als Sofortmaßnahme empfohlen. Andere Anwendungs­fälle ergeben sich etwa, wenn man per Group Policy Preferences einen Ordner anlegt und für diesen gleich die Zugriffs­rechte konfigurieren möchte.

    Andere Beispiele wären etwa, dass eine Anwendung unter einem Service-Account läuft und dieser Zugriff auf bestimmte Daten­verzeichnisse benötigt.

    Nachdem die Client Side Extensions die Einstellungen eines GPO bei jedem Refresh erneut anwenden, kann man auf diese Weise gewähr­leisten, dass etwa auf File-Shares mit einer tiefen Ordnerstruktur immer die erwünschten Zugriffsrechte beibehalten werden. Manuelle Änderungen würden automatisch wieder korrigiert.

    GPO erstellen

    Nachdem man ein GPO erstellt und mit der gewünschten OU bzw. Domäne verlinkt hat, öffnet man es im GPO-Editor. Dort wechselt man zu Computer­konfiguration => Richtlinien => Windows-Einstellungen => Sicherheits­einstellungen => Dateisystem. Aus dem Kontextmenü von Dateisystem führt man Datei hinzufügen aus.

    Datei oder Verzeichnis zum GPO hinzufügen, für die man die Berechtigungen setzen möchte

    Daraufhin öffnet sich ein Dialog, über den man durch das Dateisystem der Admin-Workstation navigieren kann. Dies ist praktisch, wenn auf den Zielrechnern die gleichen Ordner vorhanden sind. Andernfalls kann man in das Eingabefeld Ordner einen beliebigen Pfad eintragen.

    Verzeichnis oder Datei auswählen, für welche die Zugriffsrechte konfiguriert werden sollen

    Nach der Auswahl eines Verzeichnisses oder einer Datei erscheint der Dialog Sicherheit, wie man ihn aus den Eigenschaften eines Dateisystem­objekts im Explorer kennt. Hier trägt man die benötigten Prinzipale ein und weist ihnen die gewünschten Berechtigungen zu. Wenn man Konten oder Gruppen entfernt, dann wirkt sich das genauso auf die Zielsysteme aus.

    Konfiguration der Berechtigungen für das ausgewählte Verzeichnis

    Wenn man über Erweitert die erweiterten Sicherheitseinstellungen öffnet, dann kann man dort zusätzlich auch die Vererbung steuern.

    Nach dem Bestätigen der neuen Zugriffsrechte hat man zudem die Möglichkeit, vorhandene Berechtigungen in allen Unterordnern durch vererbbare Rechte zu ersetzen oder, falls dort Zugriffsrechte direkt zugewiesen wurden, zu belassen.

    Festlegen, wie und ob die geänderten Berechtigungen auf die untergeordneten Objekte übertragen werden.

    Eine weitere Option namens Ersetzen der Datei und Ordner­berech­tigungen nicht zulassen unterbindet das Übertragen der Rechte auf untergeordnete Ordner. In diesem Fall wird man für den untergeordneten Verzeichnisbaum wahrscheinlich eine eigene Einstellung konfigurieren.

    Nach dem Neustart der Zielrechner oder dem Ausführen von gpupdate /force auf sollten die betreffenden Dateien oder Verzeichnisse die neuen Berechtigungen erhalten.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links