NTFS- und Freigabeberechtigungen werden beide häufig in Microsoft Windows-Umgebungen verwendet. Obwohl Freigabe- und NTFS-Berechtigungen beide dem gleichen Zweck dienen – dem Schutz vor unbefugtem Zugriff – gibt es wichtige Unterschiede, die Sie verstehen sollten, bevor Sie entscheiden, wie Sie eine Aufgabe wie die Freigabe eines Ordners am besten durchführen. Im Folgenden finden Sie die wichtigsten Unterschiede zwischen Freigabe- und NTFS-Berechtigungen sowie einige Empfehlungen, wann und wie Sie beide verwenden sollten.
Was sind NTFS-Berechtigungen?
NTFS (New Technology File System) ist das Standarddateisystem für Microsoft Windows NT und neuere Betriebssysteme; NTFS-Berechtigungen werden verwendet, um den Zugriff auf Daten zu verwalten, die in NTFS-Dateisystemen gespeichert sind. Die Hauptvorteile von NTFS-Freigabeberechtigungen sind, dass sie sowohl für lokale Benutzer als auch für Netzwerkbenutzer gelten und dass sie auf den Berechtigungen basieren, die einem einzelnen Benutzer bei der Windows-Anmeldung gewährt werden, unabhängig davon, von wo aus sich der Benutzer verbindet.
Es gibt sowohl grundlegende als auch erweiterte NTFS-Berechtigungen. Sie können jede der Berechtigungen auf „Zulassen“ oder „Verweigern“ setzen, um den Zugriff auf NTFS-Objekte zu steuern. Hier sind die grundlegenden Arten von Zugriffsberechtigungen:
- Volle Kontrolle – Benutzer können Dateien und Verzeichnisse sowie deren zugehörige Eigenschaften hinzufügen, ändern, verschieben und löschen. Darüber hinaus können Benutzer die Berechtigungseinstellungen für alle Dateien und Unterverzeichnisse ändern.
- Ändern – Benutzer können Dateien und Dateieigenschaften anzeigen und ändern, einschließlich des Hinzufügens von Dateien zu einem Verzeichnis oder des Löschens von Dateien aus einem Verzeichnis oder von Dateieigenschaften zu einer Datei oder aus einer Datei.
- Lesen & Ausführen – Benutzer können ausführbare Dateien, einschließlich Skripts, ausführen.
- Lesen – Benutzer können Dateien, Dateieigenschaften und Verzeichnisse anzeigen.
- Schreiben – Benutzer können in eine Datei schreiben und Dateien zu Verzeichnissen hinzufügen.
Was sind Freigabeberechtigungen?
Freigabeberechtigungen verwalten den Zugriff auf über ein Netzwerk freigegebene Ordner; sie gelten nicht für Benutzer, die sich lokal anmelden. Freigabeberechtigungen gelten für alle Dateien und Ordner in der Freigabe; Sie können den Zugriff auf Unterordner oder Objekte in einer Freigabe nicht detailliert steuern. Sie können die Anzahl der Benutzer festlegen, die auf den freigegebenen Ordner zugreifen dürfen. Freigabeberechtigungen können mit NTFS-, FAT- und FAT32-Dateisystemen verwendet werden.
Es gibt drei Arten von Freigabeberechtigungen: Vollzugriff, Ändern und Lesen. Sie können jede von ihnen auf „Verweigern“ oder „Zulassen“ setzen, um den Zugriff auf freigegebene Ordner oder Laufwerke zu steuern:
- Lesen – Benutzer können Datei- und Unterordnernamen anzeigen, Daten in Dateien lesen und Programme ausführen. Standardmäßig wird der Gruppe „Jeder“ die Berechtigung „Lesen“ zugewiesen.
- Ändern – Benutzer können alles tun, was die Berechtigung „Lesen“ erlaubt, sowie Dateien und Unterordner hinzufügen, Daten in Dateien ändern und Unterordner und Dateien löschen. Diese Berechtigung wird nicht standardmäßig zugewiesen.
- Vollzugriff – Benutzer können alles tun, was mit den Berechtigungen „Lesen“ und „Ändern“ erlaubt ist, und sie können auch die Berechtigungen nur für NTFS-Dateien und -Ordner ändern. Standardmäßig erhält die Gruppe „Administratoren“ die Berechtigung „Vollzugriff“.
NTFS vs. Freigabeberechtigungen
Hier sind die wichtigsten Unterschiede zwischen NTFS- und Freigabeberechtigungen, die Sie kennen müssen:
- Gegenüber sind Freigabeberechtigungen einfach anzuwenden und zu verwalten, aber NTFS-Berechtigungen ermöglichen eine genauere Kontrolle eines freigegebenen Ordners und seines Inhalts.
- Wenn Freigabe- und NTFS-Berechtigungen gleichzeitig verwendet werden, gewinnt immer die restriktivste Berechtigung. Wenn beispielsweise die Berechtigung für den freigegebenen Ordner auf „Jeder lesen darf“ und die NTFS-Berechtigung auf „Jeder ändern darf“ gesetzt ist, gilt die Freigabeberechtigung, weil sie am restriktivsten ist; der Benutzer darf die Dateien auf dem freigegebenen Laufwerk nicht ändern.
- Für die Freigabe von Ordnern in FAT- und FAT32-Dateisystemen können Freigabeberechtigungen verwendet werden; NTFS-Berechtigungen können dies nicht.
- NTFS-Berechtigungen gelten für Benutzer, die lokal auf dem Server angemeldet sind; Freigabeberechtigungen nicht.
- Im Gegensatz zu NTFS-Berechtigungen können Sie mit Freigabeberechtigungen die Anzahl der gleichzeitigen Verbindungen zu einem freigegebenen Ordner einschränken.
- Gegenseitigkeitsberechtigungen werden in den Eigenschaften „Erweiterte Freigabe“ in den Einstellungen „Berechtigungen“ konfiguriert. NTFS-Berechtigungen werden auf der Registerkarte „Sicherheit“ in den Datei- oder Ordnereigenschaften konfiguriert.
So ändern Sie NTFS-Berechtigungen
So ändern Sie NTFS-Berechtigungen:
- Öffnen Sie die Registerkarte „Sicherheit“.
- Klicken Sie im Dialogfeld „Eigenschaften“ des Ordners auf „Bearbeiten“.
- Klicken Sie auf den Namen des Objekts, für das Sie die Berechtigungen ändern möchten.
- Wählen Sie für jede der Einstellungen entweder „Zulassen“ oder „Verweigern“.
- Klicken Sie auf „Übernehmen“, um die Berechtigungen anzuwenden.
Alternativ können Sie die NTFS-Berechtigungen mithilfe von PowerShell ändern.
So ändern Sie Freigabeberechtigungen
So ändern Sie Freigabeberechtigungen:
- Klicken Sie mit der rechten Maustaste auf den freigegebenen Ordner.
- Klicken Sie auf „Eigenschaften“.
- Öffnen Sie die Registerkarte „Freigabe“.
- Klicken Sie auf „Erweiterte Freigabe“.
- Klicken Sie auf „Berechtigungen“.
- Wählen Sie einen Benutzer oder eine Gruppe aus der Liste aus.
- Wählen Sie für jede der Einstellungen entweder „Zulassen“ oder „Verweigern“.
Bewährte Praktiken für Berechtigungen
- Weisen Sie Gruppen und nicht Benutzerkonten Berechtigungen zu – Das Zuweisen von Berechtigungen zu Gruppen vereinfacht die Verwaltung von freigegebenen Ressourcen. Wenn sich die Rolle eines Benutzers ändert, fügen Sie ihn einfach zu den entsprechenden neuen Gruppen hinzu und entfernen ihn aus allen Gruppen, die nicht mehr relevant sind.
- Durchsetzung des Prinzips der geringsten Berechtigung – Gewähren Sie Benutzern die Berechtigungen, die sie benötigen, und nicht mehr. Wenn ein Benutzer beispielsweise die Informationen in einem Ordner lesen muss, aber nie einen legitimen Grund hat, Dateien zu löschen, zu erstellen oder zu ändern, stellen Sie sicher, dass er nur die Berechtigung „Lesen“ hat.
- Verwenden Sie nur NTFS-Berechtigungen für lokale Benutzer – Freigabeberechtigungen gelten nur für Benutzer, die über das Netzwerk auf freigegebene Ressourcen zugreifen; sie gelten nicht für Benutzer, die sich lokal anmelden.
- Legen Sie Objekte mit denselben Sicherheitsanforderungen in denselben Ordner – Wenn Benutzer beispielsweise die Berechtigung „Lesen“ für mehrere Ordner benötigen, die von einer Abteilung verwendet werden, speichern Sie diese Ordner in demselben übergeordneten Ordner und geben Sie diesen übergeordneten Ordner frei, anstatt jeden Ordner einzeln freizugeben.
- Setzen Sie die Berechtigungen für die Gruppe „Jeder“ nicht auf „Verweigern“ – Die Gruppe „Jeder“ umfasst alle Personen, die Zugriff auf freigegebene Ordner haben, einschließlich des Kontos „Gast“, mit Ausnahme der Gruppe „Anonyme Anmeldung“.
- Vermeiden Sie es, einer freigegebenen Ressource explizit die Berechtigung zu verweigern – Normalerweise sollten Sie Berechtigungen nur dann explizit verweigern, wenn Sie bestimmte, bereits zugewiesene Berechtigungen außer Kraft setzen wollen.
- Erteilen Sie der Gruppe „Administratoren“ die Berechtigung „Vollzugriff“ auf den übergeordneten gemeinsamen Ordner – Diese Strategie ermöglicht es Administratoren, Berechtigungen zu verwalten, Zugriffslisten zu exportieren und Änderungen an allen Berechtigungen, Dateien und Ordnern zu verfolgen.
- Behalten Sie die Mitgliedschaft der Gruppe „Administratoren“ genau im Auge – Benutzer in dieser Gruppe haben die Berechtigung „Vollzugriff“ auf alle Ihre gemeinsamen Dateien und Ordner. Daher sollten Sie Änderungen an der Mitgliedschaft in dieser Gruppe sorgfältig überprüfen, indem Sie entweder die Audit-Richtlinie und das Sicherheitsereignisprotokoll oder Softwarelösungen von Drittanbietern verwenden, die Sie in Echtzeit über alle Änderungen an dieser mächtigen Gruppe informieren und eine regelmäßige Überprüfung aller Benutzerberechtigungen ermöglichen.
Weitere Informationen finden Sie in den Best Practices für die Verwaltung von NTFS-Berechtigungen.
Nur einen Satz von Berechtigungen verwenden
Wenn Ihnen die Arbeit mit zwei separaten Sätzen von Berechtigungen zu kompliziert ist, können Sie auch nur NTFS-Freigabeberechtigungen verwenden. Ändern Sie einfach die Freigabeberechtigungen für den Ordner auf „Vollzugriff“, und dann können Sie beliebige Änderungen an den NTFS-Berechtigungen vornehmen, ohne sich Gedanken darüber machen zu müssen, dass die Dateifreigabeberechtigungen diese beeinträchtigen.
Zusammenfassung
Wenn Sie die Unterschiede zwischen Freigabe- und NTFS-Berechtigungen kennen, können Sie sie gemeinsam verwenden, um den Zugriff auf lokale und freigegebene Ressourcen zu sichern. Die Befolgung der hier beschriebenen Richtlinien und Best Practices wird die Sicherheit Ihrer IT-Umgebung weiter erhöhen.