NTFS- och delningsbehörigheter används ofta i Microsoft Windows-miljöer. Även om delnings- och NTFS-behörigheter har samma syfte – att förhindra obehörig åtkomst – finns det viktiga skillnader som du måste förstå innan du bestämmer hur du bäst utför en uppgift som att dela en mapp. Här är de viktigaste skillnaderna mellan delnings- och NTFS-behörigheter, tillsammans med några rekommendationer för när och hur de ska användas.
Vad är NTFS-behörigheter?
NTFS (New Technology File System) är standardfilsystemet för Microsoft Windows NT och senare operativsystem; NTFS-behörigheter används för att hantera åtkomst till data som lagras i NTFS-filsystem. De viktigaste fördelarna med NTFS-behörigheter är att de påverkar både lokala användare och nätverksanvändare och att de baseras på de behörigheter som beviljas en enskild användare vid Windows-inloggning, oavsett varifrån användaren ansluter sig.
Det finns både grundläggande och avancerade NTFS-behörigheter. Du kan ställa in var och en av behörigheterna till ”Tillåt” eller ”Neka” för att styra åtkomsten till NTFS-objekt. Här är de grundläggande typerna av åtkomstbehörigheter:
- Fullständig kontroll – Användare kan lägga till, ändra, flytta och ta bort filer och kataloger samt deras tillhörande egenskaper. Dessutom kan användare ändra behörighetsinställningar för alla filer och underkataloger.
- Modifiera – Användare kan visa och ändra filer och filegenskaper, inklusive att lägga till filer till eller ta bort filer från en katalog, eller filegenskaper till eller från en fil.
- Läsa & Utföra – Användare kan köra körbara filer, inklusive skript.
- Läsa – Användare kan visa filer, filegenskaper och kataloger.
- Skriva – Användare kan skriva till en fil och lägga till filer i kataloger.
Vad är delningsbehörigheter?
Delningsbehörigheter hanterar åtkomst till mappar som delas i ett nätverk; de gäller inte för användare som loggar in lokalt. Delningsbehörigheter gäller för alla filer och mappar i delningen; du kan inte styra åtkomsten till undermappar eller objekt på en delning. Du kan ange hur många användare som får komma åt den delade mappen. Delningsbehörigheter kan användas med filsystemen NTFS, FAT och FAT32.
Det finns tre typer av delningsbehörigheter: Det finns tre typer av behörigheter: Full kontroll, ändring och läsning. Du kan ställa in var och en av dem till ”Neka” eller ”Tillåt” för att kontrollera åtkomsten till delade mappar eller enheter:
- Läsa – Användare kan visa fil- och undermappnamn, läsa data i filer och köra program. Som standard tilldelas gruppen ”Alla” behörigheten ”Läsa”.
- Ändra – Användare kan göra allt som tillåts med behörigheten ”Läsa”, samt lägga till filer och undermappar, ändra data i filer och ta bort undermappar och filer. Den här behörigheten är inte tilldelad som standard.
- Fullständig kontroll – Användare kan göra allt som tillåts med behörigheterna ”Läsa” och ”Ändra”, och de kan även ändra behörigheter för endast NTFS-filer och -mappar. Som standard tilldelas gruppen ”Administratörer” behörigheter för ”Full kontroll”.
NTFS- respektive delningsbehörigheter
Här är de viktigaste skillnaderna mellan NTFS- och delningsbehörigheter som du behöver känna till:
- Delningsbehörigheter är lätta att tillämpa och hantera, men NTFS-behörigheter möjliggör en mer detaljerad kontroll av en delad mapp och dess innehåll.
- När delnings- och NTFS-behörigheter används samtidigt vinner alltid den mest restriktiva behörigheten. När till exempel behörigheten för den delade mappen är inställd på ”Alla får läsa” och NTFS-behörigheten är inställd på ”Alla får ändra”, är det delningsbehörigheten som gäller eftersom den är mest restriktiv; användaren får inte ändra filerna på den delade enheten.
- Delningsbehörigheter kan användas vid delning av mappar i FAT- och FAT32-filsystem, men det kan inte NTFS-behörigheter göra.
- NTFS-behörigheter gäller för användare som är inloggade på servern lokalt; det gör inte delningsbehörigheter.
- Till skillnad från NTFS-behörigheter kan du med delningsbehörigheter begränsa antalet samtidiga anslutningar till en delad mapp.
- Delningsbehörigheter konfigureras i egenskaperna ”Avancerad delning” i inställningarna ”Behörigheter”. NTFS-behörigheter konfigureras på fliken Säkerhet i fil- eller mappegenskaperna.
Hur du ändrar NTFS-behörigheter
För att ändra NTFS-behörigheter:
- Öppna fliken Säkerhet.
- Klicka på ”Redigera” i mappens dialogruta ”Egenskaper”.
- Klicka på namnet på det objekt som du vill ändra behörigheter för.
- Välj antingen ”Tillåt” eller ”Neka” för var och en av inställningarna.
- Klicka på ”Tillämpa” för att tillämpa behörigheterna.
Alternativt kan du ändra NTFS-behörigheter med PowerShell.
Hur du ändrar delningsbehörigheter
För att ändra delningsbehörigheter:
- Högerklicka på den delade mappen.
- Klicka på ”Egenskaper”.
- Öppna fliken ”Delning”.
- Klicka på ”Avancerad delning”.
- Klicka på ”Behörigheter”.
- Välj en användare eller grupp i listan.
- Välj antingen ”Tillåt” eller ”Neka” för varje inställning.
Bästa metoder för behörigheter
- Tilldela behörigheter till grupper, inte till användarkonton – Att tilldela behörigheter till grupper förenklar hanteringen av delade resurser. Om en användares roll ändras lägger du helt enkelt till honom eller henne i lämpliga nya grupper och tar bort honom eller henne från grupper som inte längre är relevanta.
- Verkställ principen om minst privilegier – Ge användarna de behörigheter de behöver och inget mer. Om en användare till exempel behöver läsa informationen i en mapp men aldrig har någon legitim anledning att ta bort, skapa eller ändra filer, se till att han eller hon bara har behörigheten ”Läsa”.
- Använd endast NTFS-behörigheter för lokala användare – Delningsbehörigheter gäller endast för användare som har åtkomst till delade resurser via nätverket; de gäller inte för användare som loggar in lokalt.
- Placera objekt med samma säkerhetskrav i samma mapp – Om användarna till exempel kräver behörigheten ”Läsa” för flera mappar som används av en avdelning, ska du lagra mapparna i samma överordnade mapp och dela den överordnade mappen, i stället för att dela varje mapp individuellt.
- Ställ inte in behörigheterna för gruppen ”Alla” till ”Neka” – Gruppen ”Alla” omfattar alla som har åtkomst till delade mappar, inklusive kontot ”Gäst”, med undantag för gruppen ”Anonym inloggning”.
- Undvik att uttryckligen neka behörigheter till en delad resurs – I normalfallet bör du uttryckligen neka behörigheter endast när du vill åsidosätta specifika behörigheter som redan är tilldelade.
- Ge gruppen ”Administratörer” behörigheten ”Full kontroll” till den överordnade delade mappen – Den här strategin gör det möjligt för administratörer att hantera behörigheter, exportera åtkomstlistor och spåra ändringar av alla behörigheter, filer och mappar.
- Håll ett vakande öga på medlemskapet i gruppen ”Administratörer” – Användare i den här gruppen har behörigheten ”Full åtkomst” till alla dina delade filer och mappar. Därför bör du noggrant granska ändringar av dess medlemskap, antingen med hjälp av granskningspolicy och säkerhetshändelseloggen eller med hjälp av programvarulösningar från tredje part som kan meddela dig om ändringar i denna kraftfulla grupp i realtid, samt underlätta regelbundna intyg för alla användarbehörigheter.
För mer information kan du läsa om bästa praxis för hantering av NTFS-behörigheter.
Användning av endast en uppsättning behörigheter
Om du tycker att det är för komplicerat att arbeta med två separata behörighetsuppsättningar kan du använda endast NTFS-behörigheter för delningar. Ändra helt enkelt delningsbehörigheterna för mappen till ”Full kontroll” och sedan kan du göra vilka ändringar som helst i NTFS-behörigheterna utan att behöva oroa dig för att fildelningsbehörigheterna ska störa dem.
Sammanfattning
Om du förstår skillnaderna mellan delnings- och NTFS-behörigheter kan du använda dem tillsammans för att säkra åtkomsten till lokala och delade resurser. Om du följer de riktlinjer och bästa praxis som beskrivs här kommer säkerheten i din IT-miljö att stärkas ytterligare.
