NTFS- en share-machtigingen worden beide vaak gebruikt in Microsoft Windows-omgevingen. Hoewel de share- en NTFS-machtigingen allebei hetzelfde doel dienen – voorkomen dat onbevoegden toegang krijgen – zijn er belangrijke verschillen die u moet begrijpen voordat u bepaalt hoe u een taak als het delen van een map het beste kunt uitvoeren. Hier volgen de belangrijkste verschillen tussen delen en NTFS-machtigingen, samen met enkele aanbevelingen voor wanneer en hoe elk van hen te gebruiken.

Wat zijn NTFS-machtigingen?

NTFS (New Technology File System) is het standaard bestandssysteem voor Microsoft Windows NT en latere besturingssystemen; NTFS-machtigingen worden gebruikt om de toegang te beheren tot gegevens die zijn opgeslagen in NTFS-bestandssystemen. De belangrijkste voordelen van NTFS-deelmachtigingen zijn dat ze zowel lokale gebruikers als netwerkgebruikers betreffen en dat ze zijn gebaseerd op de machtigingen die aan een individuele gebruiker zijn toegekend bij het aanmelden bij Windows, ongeacht waarvandaan de gebruiker verbinding maakt.

Er zijn zowel basismachtigingen als geavanceerde NTFS-machtigingen. U kunt elk van de machtigingen instellen op “Toestaan” of “Weigeren” om de toegang tot NTFS-objecten te regelen. Dit zijn de basistypen toegangsmachtigingen:

  • Volledige controle – Gebruikers kunnen bestanden en mappen toevoegen, wijzigen, verplaatsen en verwijderen, evenals de bijbehorende eigenschappen. Bovendien kunnen gebruikers de machtigingsinstellingen voor alle bestanden en submappen wijzigen.
  • Wijzigen – Gebruikers kunnen bestanden en bestandseigenschappen bekijken en wijzigen, inclusief het toevoegen van bestanden aan of het verwijderen van bestanden uit een map, of bestandseigenschappen aan of uit een bestand.
  • Lezen & Uitvoeren – Gebruikers kunnen uitvoerbare bestanden, inclusief scripts, uitvoeren.
  • Lezen – Gebruikers kunnen bestanden, bestandseigenschappen en directory’s bekijken.
  • Schrijven – Gebruikers kunnen naar een bestand schrijven en bestanden aan directory’s toevoegen.

Wat zijn deelmachtigingen?

Deelmachtigingen beheren de toegang tot mappen die via een netwerk worden gedeeld; ze zijn niet van toepassing op gebruikers die zich lokaal aanmelden. Deelmachtigingen zijn van toepassing op alle bestanden en mappen in de share; u kunt de toegang tot submappen of objecten op een share niet granulair beheren. U kunt het aantal gebruikers opgeven dat toegang heeft tot de gedeelde map. Share permissies kunnen worden gebruikt met NTFS, FAT en FAT32 bestandssystemen.

Er zijn drie soorten share permissies: Volledige controle, Wijzigen en Lezen. U kunt elk van hen instellen op “Weigeren” of “Toestaan” om de toegang tot gedeelde mappen of stations te regelen:

  • Lezen – Gebruikers kunnen namen van bestanden en submappen bekijken, gegevens in bestanden lezen, en programma’s uitvoeren. Standaard krijgt de groep “Iedereen” de machtiging “Lezen”.
  • Wijzigen – Gebruikers kunnen alles doen wat is toegestaan met de machtiging “Lezen”, maar ook bestanden en submappen toevoegen, gegevens in bestanden wijzigen en submappen en bestanden verwijderen. Deze machtiging is niet standaard toegewezen.
  • Volledige controle – Gebruikers kunnen alles doen wat is toegestaan met de machtigingen “Lezen” en “Wijzigen”, en ze kunnen ook alleen machtigingen voor NTFS-bestanden en -mappen wijzigen. Standaard krijgt de groep “Beheerders” machtigingen voor “Volledige controle”.

NTFS vs Share-machtigingen

Hier vindt u de belangrijkste verschillen tussen NTFS- en share-machtigingen die u moet weten:

  • Share-machtigingen zijn eenvoudig toe te passen en te beheren, maar NTFS-machtigingen maken een meer fijnmazige controle van een gedeelde map en de inhoud ervan mogelijk.
  • Wanneer share- en NTFS-machtigingen tegelijkertijd worden gebruikt, wint de meest restrictieve machtiging altijd. Wanneer bijvoorbeeld de toestemming voor een gedeelde map is ingesteld op “Iedereen lezen toestaan” en de NTFS-toestemming is ingesteld op “Iedereen wijzigen toestaan”, geldt de toestemming voor delen omdat deze het meest restrictief is; de gebruiker mag de bestanden op het gedeelde station niet wijzigen.
  • Deeltoestemmingen kunnen worden gebruikt bij het delen van mappen in FAT- en FAT32-bestandssystemen; NTFS-machtigingen kunnen dat niet.
  • NTFS-machtigingen zijn van toepassing op gebruikers die lokaal op de server zijn aangemeld; share-machtigingen niet.
  • In tegenstelling tot NTFS-machtigingen, kunt u met share-machtigingen het aantal gelijktijdige verbindingen met een gedeelde map beperken.
  • Share-machtigingen worden geconfigureerd in de eigenschappen “Geavanceerd delen” in de instellingen “Machtigingen”. NTFS-machtigingen worden geconfigureerd op het tabblad Beveiliging in de eigenschappen van het bestand of de map.

Hoe NTFS-machtigingen te wijzigen

Om NTFS-machtigingen te wijzigen:

  1. Open het tabblad “Beveiliging”.
  2. In het dialoogvenster “Eigenschappen” van de map, klik op “Bewerken”.
  3. Klik op de naam van het object waarvoor u de machtigingen wilt wijzigen.
  4. Selecteer “Toestaan” of “Weigeren” voor elk van de instellingen.
  5. Klik op “Toepassen” om de machtigingen toe te passen.

Aternatief kunt u NTFS-machtigingen wijzigen met PowerShell.

Hoe deelmachtigingen te wijzigen

Om de deelmachtigingen te wijzigen:

  1. Rechtsklik op de gedeelde map.
  2. Klik op “Eigenschappen”.
  3. Open het tabblad “Delen”.
  4. Klik op “Geavanceerd delen”.
  5. Klik op “Machtigingen”.
  6. Selecteer een gebruiker of groep in de lijst.
  7. Selecteer “Toestaan” of “Weigeren” voor elk van de instellingen.

Best Practices voor machtigingen

  • Wijs machtigingen toe aan groepen, niet aan gebruikersaccounts – Het toewijzen van machtigingen aan groepen vereenvoudigt het beheer van gedeelde bronnen. Als de rol van een gebruiker verandert, voegt u hem eenvoudig toe aan de juiste nieuwe groepen en verwijdert u hem uit groepen die niet langer relevant zijn.
  • Handhaaf het principe van de minste privileges – Geef gebruikers de rechten die ze nodig hebben en niets meer. Als een gebruiker bijvoorbeeld de informatie in een map moet lezen, maar nooit een legitieme reden heeft om bestanden te verwijderen, te maken of te wijzigen, zorg er dan voor dat hij alleen de permissie “Lezen” heeft.
  • Gebruik alleen NTFS-permissies voor lokale gebruikers – Share-permissies zijn alleen van toepassing op gebruikers die toegang hebben tot gedeelde bronnen via het netwerk; ze zijn niet van toepassing op gebruikers die zich lokaal aanmelden.
  • Plaats objecten met dezelfde beveiligingseisen in dezelfde map – Als gebruikers bijvoorbeeld de toestemming “Lezen” nodig hebben voor verschillende mappen die door één afdeling worden gebruikt, slaat u die mappen op in dezelfde bovenliggende map en deelt u die bovenliggende map, in plaats van elke map afzonderlijk te delen.
  • Stel de machtigingen voor de groep “Iedereen” niet in op “Weigeren” – De groep “Iedereen” omvat iedereen die toegang heeft tot gedeelde mappen, inclusief het “Gast”-account, met uitzondering van de groep “Anoniem aanmelden”.
  • Vermijd het expliciet weigeren van machtigingen voor een gedeelde bron – Normaal gesproken moet u machtigingen alleen expliciet weigeren wanneer u specifieke machtigingen die al zijn toegewezen, wilt opheffen.
  • Geef de groep “Beheerders” de machtiging “Volledige controle” voor de bovenliggende gedeelde map – Deze strategie stelt beheerders in staat machtigingen te beheren, toegangslijsten te exporteren en wijzigingen bij te houden voor alle machtigingen, bestanden en mappen.
  • Houd het lidmaatschap van de groep “Beheerders” goed in de gaten – Gebruikers in deze groep hebben “Volledige toegang” machtigingen voor al uw gedeelde bestanden en mappen. Daarom moet u zorgvuldig controleren wijzigingen in het lidmaatschap, met behulp van ofwel auditbeleid en de beveiliging event log, of software-oplossingen van derden die u kunnen informeren over eventuele wijzigingen in deze krachtige groep in real time, maar ook regelmatig attestatie voor alle gebruikersmachtigingen te vergemakkelijken.

Voor meer informatie leest u best practices over het beheer van NTFS-machtigingen.

Slechts één set machtigingen gebruiken

Als u vindt dat het werken met twee afzonderlijke sets machtigingen te ingewikkeld is, kunt u ook alleen de NTFS-sharemachtigingen gebruiken. Wijzig gewoon de deelmachtigingen voor de map in “Volledige controle”, en dan kunt u alle gewenste wijzigingen in de NTFS-machtigingen aanbrengen zonder dat u zich zorgen hoeft te maken dat de bestandsdeelmachtigingen hiermee interfereren.

Samenvatting

Als u de verschillen tussen Share- en NTFS-machtigingen kent, kunt u ze samen gebruiken om de toegang tot lokale en gedeelde bronnen te beveiligen. Als u de hier beschreven richtlijnen en best practices volgt, wordt de beveiliging van uw IT-omgeving verder versterkt.

Jeff is Director of Global Solutions Engineering bij Netwrix. Hij is al lange tijd Netwrix blogger, spreker en presentator. Op de Netwrix blog deelt Jeff lifehacks, tips en trucs die uw systeembeheerervaring drastisch kunnen verbeteren.

admin

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

lg