Getty Images/iStockphoto

Best Practices zur Verwaltung von NTFS/ReFS-Berechtigungen

Wenn Ordner im Netzwerk freigegeben werden, sollten sich Administratoren an bestimmte Regeln halten. Dieser Beitrag fasst wichtige Tipps zur richtigen Umsetzung zusammen.

Die Vergabe von Berechtigungen für Ordner und Freigaben sollte im Netzwerk möglichst einheitlich erfolgen. Dabei ist es wichtig verschiedene Regeln zu beachten. Generell empfiehlt Microsoft, dass Berechtigungen möglichst nicht direkt an Benutzer erteilt werden sollen. Der Nachteil dabei ist, dass bei Änderungen der Berechtigungen die komplette Berechtigungsliste eines Ordners oder einer Freigabe angepasst werden muss. Das kann zu Problemen führen und ist vor allem sehr kompliziert. Nicht ohne Grund rät Microsoft zu einer bestimmten Vorgehensweise.

So empfiehlt Microsoft folgende Berechtigungsstruktur:

  • Eine domänenlokale Gruppe erhält Berechtigung auf den Ordner und Freigabe.
  • Globale Gruppen mit Benutzern werden in die lokale Gruppe aufgenommen.
  • Benutzerkonten der Anwender sind Mitglieder der einzelnen globalen Gruppen.

Berechtigungen an Gruppen vergeben

Berechtigungen auf ReFS- und NTFS-Ebene sollte immer an Gruppen im Active Directory vergeben werden. Wenn ein Benutzer Rechte erhalten soll, oder wenn Rechte wieder entzogen werden müssen, reicht es auch, wenn das Konto des Benutzers in der entsprechenden Gruppe aufgenommen oder entfernt wird. Das geht wesentlich schneller, ist übersichtlicher und effektiver. Denn bei diesem Vorgang müssen nicht die Einträge in der Berechtigungsliste geändert werden, sondern nur die Gruppenmitgliedschaft.

Welche Gruppen sind am besten geeignet?

Generell bietet Windows in Active Diretory drei verschiedene Gruppen an:

  • Lokale Gruppen
  • Globale Gruppen
  • Universelle Gruppen

Wenn im Unternehmen nur eine Domäne eingesetzt wird, spielt es generell keine Rolle, welche Gruppe genutzt wird, da alle drei den Zweck erfüllen Berechtigungen zu erteilen. Nur wenn mehrere Domänen zum Einsatz kommen, ist es notwendig die Gruppen korrekt zu verwenden.

Abbildung 1: Unter Windows lassen sich über die Eigenschaften die Berechtigungen eines Verzeichnisses verarbeiten.
Abbildung 1: Unter Windows lassen sich über die Eigenschaften die Berechtigungen eines Verzeichnisses verarbeiten.

Nach der Empfehlung von Microsoft und den meisten Experten, sollten Berechtigungen für Verzeichnisse und Freigaben an lokale Gruppen erteilt werden. Lokale Gruppen sind auf Mitgliedsservern in Active Directory auf allen Servern in der Domäne verfügbar. Dadurch lassen sich Berechtigungen sehr leicht erteilen, und die Gruppen können für die Ressourcen genutzt werden, die in der Domäne vorhanden sind.

Benutzerkonten sollten wiederum in globalen Gruppen integriert werden. Im Gegensatz zu lokalen Gruppen sind globale Gruppen in allen Domänen verfügbar. Allerdings kann eine globale Gruppe nur Benutzerkonten aus der eigenen Domäne enthalten.

Dadurch lassen sich die Benutzerkonten, die Berechtigungen für eine Ressource erhalten sollen, sehr leicht zusammenfassen. Die globalen Gruppen werden Mitglied der lokalen Gruppe, die wiederum Rechte auf die Ressource erhält. Sollen Berechtigungen geändert werden, kann das sehr leicht über die Gruppenmitgliedschaften erfolgen.

Abbildung 2: So funktionieren Berechtigungen auf Ebene der Freigabe und des Verzeichnisses.
Abbildung 2: So funktionieren Berechtigungen auf Ebene der Freigabe und des Verzeichnisses.

Universelle Gruppen ermöglichen im Active Directory die Mitgliedschaft von beliebigen Konten aus allen Domänen und können selbst auch Mitglied anderer Gruppen sein. Die universellen Gruppen sind allerdings Bestandteil des globalen Katalogs im Active Directory. Die Menge der zu replizierenden Daten steigen also an, wenn zu viele universelle Gruppen genutzt werden.

Zusammengefasst: Benutzerkonten sollten Mitglied von globalen Gruppen sein. Die Rechte für die Ressource sollten an lokale/Domänenlokale Gruppen vergeben werden. Die globalen Gruppen sollten Mitglied der entsprechenden domänenlokalen Gruppe werden. Dadurch lassen sich Berechtigungen sehr leicht steuern. Soll ein Benutzer Zugriff auf die Ressource erhalten, wird er in die globale Gruppe in seiner Domäne aufgenommen, die wiederum Mitglied der domänenlokalen Gruppe ist, die Zugriff auf die Ressource haben.

Gruppen im Active Directory verwalten

Gruppen lassen sich in Active Directory sehr einfach verwalten. Durch einen Doppelklick werden die Eigenschaften aufgerufen. Hier spielen vor allem drei Registerkarten eine wichtige Rolle: Auf der Registerkarte Mitglieder werden über die Schaltflächen Hinzufügen und Entfernen neue Mitglieder in Gruppen aufgenommen oder entfernt. Auf der Registerkarte Mitglied von werden die Gruppen angezeigt, in denen diese Gruppe Mitglied ist.

Abbildung 3: Mitglieder lassen sich relativ einfach zu Gruppen hinzufügen, das sollte allerdings mit Bedacht geschehen.
Abbildung 3: Mitglieder lassen sich relativ einfach zu Gruppen hinzufügen, das sollte allerdings mit Bedacht geschehen.

Über die Registerkarte Verwaltet von ist zu sehen, wer für eine Gruppe zuständig ist. Dazu wird über die Schaltfläche Ändern eine Liste der Benutzer und Gruppen geöffnet, aus denen der entsprechende Benutzer ausgewählt werden kann. Auf diesem Weg lassen sich Gruppen also sehr übersichtlich verwalten.

Rechte korrekt zuweisen

Die Rechte in der Access Control List (ACL) einer Ressource werden also am besten einer oder mehrere lokalen Gruppen zugewiesen. Hier muss aber auch darauf geachtet werden, welche Rechte die Gruppe erhält, denn diese Rechte erhalten auch die Mitglieder. Generell gilt, dass Rechte addiert werden.

Ist der Benutzer Mitglied der Gruppe 1 und Mitglied der Gruppe 2, dann erhält er die Rechte der Gruppe 1 und die Rechte der Gruppe 2. Wird einem Benutzer aber ein bestimmtes Recht verweigert, dann gilt diese Verweigerung immer als Priorität, unabhängig davon, welche Rechte dem Benutzer über Gruppen zugewiesen werden.

Generell sollten Benutzer über Gruppen, die wiederum Rechte auf Ressourcen haben, maximal das Recht Ändern für eine Ressource erhalten. Dadurch haben die Benutzer das Recht, Dokumente zu lesen, zu bearbeiten, zu löschen und neu zu erstellen. Das reicht aus, um Dokumente umfassend zu verwalten. Nur Administratoren sollten das Recht Vollzugriff erhalten. Denn bei Vollzugriff erhalten die Benutzer auch das Recht, die Berechtigungen eines Verzeichnisses oder einer Freigabe anzupassen. Das sollte aber den Administratoren vorbehalten sein. Alle anderen möglichen Rechte, wie zum Beispiel Schreiben und Lesen sind selbsterklärend.

Rechte auf Freigabeebene und Ordnerebene

Der Zugriff auf eine Freigabe im Netzwerk erfolgt über zwei Stufen. Benutzer erhalten die Rechte, die auf der Ebene der Freigabe festgelegt sind. Danach erhalten Sie die Rechte, die auf Ebene des Verzeichnisses auf dem Server festgelegt sind.

Hat ein Benutzer auf Ebene der Freigabe weniger Rechte, also auf Ebene des Ordners, dann gelten hier die Einschränkungen. Darf ein Benutzer zum Beispiel auf Grund seiner Gruppenmitgliedschaft eine Freigabe nur lesen, hat aber auf Ebene des Ordners das Recht zu schreiben, dann darf er nur lesen, wenn über das Netzwerk zugreift. Aus diesem Grund sollte auch genau geplant werden, welche Rechte auf Ebene der Freigabe erfolgt, und welche auf Ebene von NTFS/ReFS für den entsprechenden Ordner.

Nächste Schritte

Gratis-eBook: Benutzerkonten und Rechte im Griff

Die Schwachstellen bei der Rechteverwaltung mit Gruppenrichtlinien

Das Risiko der schleichenden Rechteausweitung

Erfahren Sie mehr über Identity and Access Management (IAM)

ComputerWeekly.de
Close