Tags: Gruppenrichtlinien, Rechteverwaltung, NTFS, Dateisystem
Wenn man die Zugriffsrechte auf Verzeichnisse für viele Rechner anpassen möchte, dann lässt sich auch diese Aufgabe über die Gruppenrichtlinien erledigen. Damit spart man sich nicht nur die interaktive Konfiguration, sondern stellt auch sicher, dass die Berechtigungen künftig nicht mehr von der Vorgabe abweichen.
Bei den meisten vom Betriebssystem vorgegebenen Verzeichnissen gibt es in der Regel keine Notwendigkeit, die Berechtigungen zu ändern. Ausnahmen bilden Schwachstellen wie CVE-2021-36934 ("HiveNightmare"), wodurch kritische Komponenten wie die SAM-Datenbank aufgrund von Fehlkonfiguration der Zugriffsrechte nicht ausreichend geschützt sind.
In diesem Fall würde es sich anbieten, die Berechtigungen per GPO auf allen betroffenen PCs in einen Zustand zu versetzen, wie von Microsoft als Sofortmaßnahme empfohlen. Andere Anwendungsfälle ergeben sich etwa, wenn man per Group Policy Preferences einen Ordner anlegt und für diesen gleich die Zugriffsrechte konfigurieren möchte.
Andere Beispiele wären etwa, dass eine Anwendung unter einem Service-Account läuft und dieser Zugriff auf bestimmte Datenverzeichnisse benötigt.
Nachdem die Client Side Extensions die Einstellungen eines GPO bei jedem Refresh erneut anwenden, kann man auf diese Weise gewährleisten, dass etwa auf File-Shares mit einer tiefen Ordnerstruktur immer die erwünschten Zugriffsrechte beibehalten werden. Manuelle Änderungen würden automatisch wieder korrigiert.
GPO erstellen
Nachdem man ein GPO erstellt und mit der gewünschten OU bzw. Domäne verlinkt hat, öffnet man es im GPO-Editor. Dort wechselt man zu Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Dateisystem. Aus dem Kontextmenü von Dateisystem führt man Datei hinzufügen aus.
Daraufhin öffnet sich ein Dialog, über den man durch das Dateisystem der Admin-Workstation navigieren kann. Dies ist praktisch, wenn auf den Zielrechnern die gleichen Ordner vorhanden sind. Andernfalls kann man in das Eingabefeld Ordner einen beliebigen Pfad eintragen.
Nach der Auswahl eines Verzeichnisses oder einer Datei erscheint der Dialog Sicherheit, wie man ihn aus den Eigenschaften eines Dateisystemobjekts im Explorer kennt. Hier trägt man die benötigten Prinzipale ein und weist ihnen die gewünschten Berechtigungen zu. Wenn man Konten oder Gruppen entfernt, dann wirkt sich das genauso auf die Zielsysteme aus.
Wenn man über Erweitert die erweiterten Sicherheitseinstellungen öffnet, dann kann man dort zusätzlich auch die Vererbung steuern.
Nach dem Bestätigen der neuen Zugriffsrechte hat man zudem die Möglichkeit, vorhandene Berechtigungen in allen Unterordnern durch vererbbare Rechte zu ersetzen oder, falls dort Zugriffsrechte direkt zugewiesen wurden, zu belassen.
Eine weitere Option namens Ersetzen der Datei und Ordnerberechtigungen nicht zulassen unterbindet das Übertragen der Rechte auf untergeordnete Ordner. In diesem Fall wird man für den untergeordneten Verzeichnisbaum wahrscheinlich eine eigene Einstellung konfigurieren.
Nach dem Neustart der Zielrechner oder dem Ausführen von gpupdate /force auf sollten die betreffenden Dateien oder Verzeichnisse die neuen Berechtigungen erhalten.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- FolderSecurityViewer 2.0: Reports für Verzeichnis- und Freigaberechte, Owner und User-Berechtigungen
- Test: Verzeichnis- und Freigabe-Berechtigungen analysieren mit dem (kostenlosen) FolderSecurityViewer
- NTFS-Rechte anzeigen, zuweisen und entfernen mit dem PowerShell-Modul NTFSSecurity
- NTFS-Rechte zurücksetzen und Besitzer ändern mit kostenloser GUI
- Neue Policies: SMB NTLM blockieren, minimale SMB-Version erzwingen
Weitere Links