admin

NTFS- og delingstilladelser bruges begge ofte i Microsoft Windows-miljøer. Selvom delings- og NTFS-tilladelser begge tjener det samme formål – at forhindre uautoriseret adgang – er der vigtige forskelle, som du skal forstå, før du bestemmer, hvordan du bedst udfører en opgave som f.eks. deling af en mappe. Her er de vigtigste forskelle mellem delings- og NTFS-tilladelser samt nogle anbefalinger til, hvornår og hvordan du skal bruge dem hver især.

Hvad er NTFS-tilladelser?

NTFS (New Technology File System) er standardfilsystemet for Microsoft Windows NT og nyere operativsystemer; NTFS-tilladelser bruges til at styre adgangen til data, der er gemt i NTFS-filsystemer. De vigtigste fordele ved NTFS-adgangstilladelser er, at de påvirker både lokale brugere og netværksbrugere, og at de er baseret på de tilladelser, der er tildelt en individuel bruger ved Windows-logon, uanset hvor brugeren opretter forbindelse fra.

Der findes både grundlæggende og avancerede NTFS-tilladelser. Du kan indstille hver af tilladelserne til “Tillad” eller “Afvis” for at styre adgangen til NTFS-objekter. Her er de grundlæggende typer af adgangstilladelser:

  • Fuld kontrol – Brugere kan tilføje, ændre, flytte og slette filer og mapper samt deres tilknyttede egenskaber. Desuden kan brugerne ændre indstillingerne for tilladelser for alle filer og undermapper.
  • Ændre – Brugere kan se og ændre filer og filegenskaber, herunder tilføje filer til eller slette filer fra en mappe eller filegenskaber til eller fra en fil.
  • Læse & Udføre – Brugere kan køre eksekverbare filer, herunder scripts.
  • Læs – Brugere kan få vist filer, filegenskaber og mapper.
  • Skriv – Brugere kan skrive til en fil og tilføje filer til mapper.

Hvad er delingstilladelser?

Delingstilladelser styrer adgangen til mapper, der deles over et netværk; de gælder ikke for brugere, der logger på lokalt. Delingstilladelser gælder for alle filer og mapper i delingen; du kan ikke styre adgangen til undermapper eller objekter på en deling granulært. Du kan angive antallet af brugere, der kan få adgang til den delte mappe. Delingstilladelser kan bruges med NTFS-, FAT- og FAT32-filsystemer.

Der findes tre typer af delingstilladelser: Fuld kontrol, Ændring og Læs. Du kan indstille hver af dem til “Afvis” eller “Tillad” for at styre adgangen til delte mapper eller drev:

  • Læs – Brugere kan se navne på filer og undermapper, læse data i filer og køre programmer. Som standard tildeles gruppen “Alle” tilladelser til “Læs”.
  • Ændre – Brugere kan gøre alt det, der er tilladt med tilladelsen “Læs”, og de kan tilføje filer og undermapper, ændre data i filer og slette undermapper og filer. Denne tilladelse er ikke tildelt som standard.
  • Fuld kontrol – Brugere kan gøre alt det, der er tilladt med tilladelserne “Læs” og “Ændre”, og de kan også ændre tilladelser kun for NTFS-filer og -mapper. Som standard tildeles gruppen “Administratorer” tilladelser til “Fuld kontrol”.

NTFS vs. delingstilladelser

Her er de vigtigste forskelle mellem NTFS- og delingstilladelser, som du skal kende:

  • Delingstilladelser er nemme at anvende og administrere, men NTFS-tilladelser giver mulighed for mere granulær kontrol over en delt mappe og dens indhold.
  • Når delings- og NTFS-tilladelser bruges samtidig, vinder den mest restriktive tilladelse altid. Når tilladelsen til den delte mappe f.eks. er indstillet til “Alle tillader læsning”, og NTFS-tilladelsen er indstillet til “Alle tillader ændring”, gælder delingstilladelsen, fordi den er mest restriktiv; brugeren har ikke lov til at ændre filerne på det delte drev.
  • Delingstilladelser kan bruges ved deling af mapper i FAT- og FAT32-filsystemer; det kan NTFS-tilladelser ikke.
  • NTFS-tilladelser gælder for brugere, der er logget på serveren lokalt; det gør delingstilladelser ikke.
  • I modsætning til NTFS-tilladelser giver delingstilladelser dig mulighed for at begrænse antallet af samtidige forbindelser til en delt mappe.
  • Delingstilladelser konfigureres i egenskaberne “Avanceret deling” i indstillingerne “Tilladelser”. NTFS-tilladelser konfigureres på fanen “Sikkerhed” i egenskaberne for filen eller mappen.

Sådan ændrer du NTFS-tilladelser

Sådan ændrer du NTFS-tilladelser:

  1. Åbn fanen “Sikkerhed”.
  2. I dialogboksen “Egenskaber” for mappen skal du klikke på “Rediger”.
  3. Klik på navnet på det objekt, du vil ændre tilladelser for.
  4. Vælg enten “Tillad” eller “Afvis” for hver af indstillingerne.
  5. Klik på “Anvend” for at anvende tilladelserne.

Alternativt kan du ændre NTFS-tilladelser ved hjælp af PowerShell.

Sådan ændrer du tilladelser til delinger

For at ændre tilladelser til delinger:

  1. Højreklik på den delte mappe.
  2. Klik på “Egenskaber”.
  3. Åbn fanen “Deling”.
  4. Klik på “Avanceret deling”.
  5. Klik på “Tilladelser”.
  6. Vælg en bruger eller gruppe på listen.
  7. Vælg enten “Tillad” eller “Afvis” for hver af indstillingerne.

Bedste praksis for tilladelser

  • Tildel tilladelser til grupper, ikke til brugerkonti – Ved at tildele tilladelser til grupper forenkles administrationen af delte ressourcer. Hvis en brugers rolle ændres, skal du blot tilføje dem til de relevante nye grupper og fjerne dem fra alle grupper, der ikke længere er relevante.
  • Håndhæv princippet om mindste privilegier – Giv brugerne de tilladelser, de har brug for, og ikke mere. Hvis en bruger f.eks. har brug for at læse oplysningerne i en mappe, men aldrig har en legitim grund til at slette, oprette eller ændre filer, skal du sørge for, at vedkommende kun har tilladelsen “Læs”.
  • Brug kun NTFS-tilladelser til lokale brugere – Delingstilladelser gælder kun for brugere, der har adgang til delte ressourcer via netværket; de gælder ikke for brugere, der logger på lokalt.
  • Placer objekter med de samme sikkerhedskrav i den samme mappe – Hvis brugerne f.eks. skal have tilladelsen “Læs” til flere mapper, der bruges af en afdeling, skal du gemme disse mapper i den samme overordnede mappe og dele den overordnede mappe i stedet for at dele hver enkelt mappe individuelt.
  • Indstil ikke tilladelserne for gruppen “Alle” til “Afvis” – Gruppen “Alle” omfatter alle, der har adgang til delte mapper, herunder kontoen “Gæst”, med undtagelse af gruppen “Anonym logon”.
  • Undgå at afvise tilladelser til en delt ressource eksplicit – Normalt bør du kun afvise tilladelser eksplicit, når du ønsker at tilsidesætte specifikke tilladelser, der allerede er tildelt.
  • Giv gruppen “Administratorer” tilladelsen “Fuld kontrol” til den overordnede delte mappe – Denne strategi gør det muligt for administratorer at administrere tilladelser, eksportere adgangslister og spore ændringer til alle tilladelser, filer og mapper.
  • Hold nøje øje med medlemskabet af gruppen “Administratorer” – Brugere i denne gruppe har tilladelser til “Fuld adgang” til alle dine delte filer og mapper. Derfor bør du nøje overvåge ændringer i dens medlemskab ved hjælp af enten overvågningspolitik og loggen over sikkerhedshændelser eller softwareløsninger fra tredjeparter, der kan give dig besked om ændringer i denne magtfulde gruppe i realtid og lette regelmæssig attestering af alle brugertilladelser.

Læs mere om bedste praksis for forvaltning af NTFS-tilladelser for at få flere oplysninger.

Brug kun ét sæt tilladelser

Hvis du synes, at det er for kompliceret at arbejde med to separate sæt tilladelser, kan du bruge kun NTFS-tilladelser til delinger. Du skal blot ændre delingstilladelserne for mappen til “Fuld kontrol”, og så kan du foretage de ønskede ændringer i NTFS-tilladelserne uden at skulle bekymre dig om, at fildelingstilladelserne forstyrrer dem.

Summarum

Ved at forstå forskellene mellem Delings- og NTFS-tilladelser kan du bruge dem sammen for at sikre adgangen til lokale og delte ressourcer. Hvis du følger de retningslinjer og bedste praksis, der er beskrevet her, vil du yderligere styrke sikkerheden i dit it-miljø.

Jeff er direktør for Global Solutions Engineering hos Netwrix. Han er en mangeårig Netwrix-blogger, taler og oplægsholder. På Netwrix-bloggen deler Jeff lifehacks, tips og tricks, der kan forbedre din systemadministrationsoplevelse markant.

admin

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.

lg