Kunden-Login
Dokumentation
Modellstatistik
ManageMax
MailingMax
PepMax
PreisMax
VisiMapInhaltsverzeichnis
NTFS- und Freigabe-Berechtigungen
In Microsoft-Windows-Betriebssystemen ist es möglich, sehr komplexe Berechtigungsstrukturen für Verzeichnisse und auch Freigaben zu definieren.
Zu unterscheiden ist hier zunächst nach NTFS-Berechtigungen und Freigabe-Berechtigungen. Die NTFS-Berechtigungen („Sicherheit“) beziehen sich dabei immer lokal auf das Verzeichnis, die Freigabe-Berechtigungen auf die Sichtbarkeit im Netzwerk.
NTFS-Berechtigungen
NTFS-Berechtigungen werden im Windows einfach über die rechte Maustaste ⇒ „Eigenschaften“ eines Ordners auf der Reiterkarte „Sicherheit“ vergeben, hier entweder (für einfache Fälle) über den Knopf „Bearbeiten“ oder für komplexere Szenarien über den Knopf „Erweitert“.
Die Definition der Rechte erfolgt immer anhand von Benutzern oder (besser) Benutzergruppen, wobei jeder Eintrag unterschiedliche Rechte haben kann. Sie können also die Rechte direkt für den Benutzer „administrator“ vergeben, oder aber für die ganze Gruppe der „Administratoren“ oder „Domänen-Administratoren“.
Hier gibt es in der Regel auch immer eine Gruppe namens „Benutzer“ oder „Domänen-Benutzer“, die einfach alle Benutzer (egal ob Administrator oder nicht) enthält.
Die Berechtigungen untergliedern sich immer auf die Einzelrechte „Lesen“, „Schreiben“, „Ändern“, etc.
Ist ein Benutzer in mehreren Gruppen enthalten (etwa „Benutzer“ und gleichzeitig „Administratoren“), so gilt im Ergebnis immer die höchste Summe aller Berechtigungen. Wenn die Gruppe „Benutzer“ Nur-Lese-Rechte hat, die „Administratoren“ aber Vollzugriff, dann gilt in Summe ebenfalls „Vollzugriff“.
Ausnahme: Neben den Berechtigungen „Zulassen“ gibt es auch den Fall „Verweigern“, mit dem einer Gruppe der Zugang zu einem Ordner explizit verweigert werden kann. Aber dies ist in der Regel nur in Ausnahmefällen im Einsatz.
Das macht es später wesentlich einfacher, falls ein neuer Benutzer angelegt werden muss. Denn dann muss der Benutzer einfach nur in die Sicherheitsgruppe aufgenommen werden, und er erhält automatisch Zugriff auf alle Verzeichnisse dieser Sicherheitsgruppe, ohne dass Sie manuell wieder hundert Ordner anfassen müssen und den Benutzer überall hinzufügen müssen.
Die Benutzergruppen oder Sicherheitsgruppen können im Active-Directory am Domain-Controller angelegt werden.
Die Berechtigungen auf Ordner sind immer hierarchisch vergeben, das heißt, die Berechtigungen werden von Oben nach Unten durchvererbt. Wenn ein Benutzer Zugriff auf das direkte Laufwerk hat, so hat er damit in der Regel auch Zugriff auf alle darin enthaltenen Ordner, außer für eine bestimmte Struktur ist diese Vererbung explizit ausgenommen.
Gleiches gilt natürlich auch, wenn auf einen Ordner erweiterte Rechte vergeben wurden, dann gelten diese in der Regel auch für alle folgenden Unterordner.
Ob eine Vererbung aktiv ist, sieht man optisch auch direkt in den Sicherheits-Eigenschaften. Wenn hier die angezeigten Haken in grau dargestellt sind, dann stammt diese Berechtigung von übergeordneter Stelle (sind also vererbt). Sind die Häkchen schwarz, so wurden diese direkt an diesem Ordner vergeben.
Woher die Vererbung stammt, sehen Sie im Knopf „Erweitert“.
Diese Vererbung kann über den Knopf „Erweitert“ auch ein- oder ausgeschaltet werden. Ebenso kann hier die Vererbung auf alle untergeordneten Ordner explizit überschrieben werden.
Wenn also hier im Beispiel eine Berechtigung auf den Ordner „B“ vergeben wurde, so gilt diese Berechtigung auch automatisch für „B-1“ bis „B-3“ und alle darin enthaltenen Objekte, Dateien und Ordner.
Wenn Sie nun auf den Ordner „B-2“ einen Benutzer in den Berechtigungen hinzufügen, dann gilt für diesen Ordner die Summe aus den übergeordneten Rechten von „B“ plus die Rechte speziell auf „B-2“.
Alle diese hier vergebenen Rechte gelten zunächst nur für die lokale Maschine, also für jeden, der direkt auf diesem Computer arbeitet.
Freigabe-Berechtigungen
Damit ein Zugriff auf den Ordner über das Firmen-Netzwerk möglich ist, kann dieser Ordner im Netzwerk freigegeben werden. Diese erfolgt ebenfalls über die Eigenschaften des Ordners auf der Reiterkarte „Freigabe“.
Über den Knopf „Erweiterte Freigabe“ können Sie hier der Freigabe einen Namen geben, hier im Beispiel einfach „A“. Damit ist der Ordner ab sofort im Netzwerk über den UNC-Pfad \\servername\A\ erreichbar.
Über den Knopf „Berechtigungen“ können bzw. müssen Sie nun auf diese Freigabe nochmals Berechtigungen vergeben.
Wenn ein Benutzer nun über das Netzwerk auf den Ordner zugreifen möchte, gelten natürlich nur maximal die oben eingestellten NTFS-Sicherheits-Berechtigungen – aber niemals mehr als das, was hier auf Freigabe-Ebene eingestellt ist.
Es kann also sein, dass der Benutzer lokal auf der Maschine Vollzugriff auf den Ordner „A“ hat, aber über das Netzwerk auf den UNC-Pfad \\server\A\ hat unter Umständen er Nur-Lese-Rechte.