Unterschiede zwischen Freigabe- und NTFS-Berechtigungen

In Microsoft Windows-Umgebungen werden sowohl Freigabe- als auch NTFS-Berechtigungen häufig verwendet. Beide Berechtigungsarten dienen demselben Zweck: den unerlaubten Zugriff zu vermeiden. Es gibt jedoch einige wichtige Unterschiede, die Sie kennen sollten, bevor Sie Aufgaben wie die Freigabe eines Ordners durchführen. In diesem Artikel werden die wesentlichen Unterschiede zwischen Freigabeberechtigungen und NTFS-Berechtigungen beschrieben. Sie erhalten außerdem Empfehlungen, wann und wie Sie die jeweiligen Berechtigungsarten verwenden sollten.

Was sind NTFS-Berechtigungen?

Das NTFS (New Technology File System) ist das Standard-Dateisystem für Microsoft Windows NT und neuere Versionen des Microsoft-Betriebssystems. Mit NTFS-Berechtigungen wird der Zugriff auf Daten verwaltet, die in NTFS-Dateisystemen gespeichert sind. NTFS-Berechtigungen bieten den Vorteil, dass sie sowohl für lokale Benutzer als auch für Netzwerkbenutzer gelten und auf den Berechtigungen basieren, die den einzelnen Benutzern bei der Anmeldung in Windows gewährt werden – unabhängig davon, von wo der Benutzer auf das System zugreift.

Es gibt grundlegende und erweiterte NTFS-Berechtigungen. Bei allen Berechtigungen können Sie mit den Optionen „Zulassen“ und „Verweigern“ den Zugriff auf NTFS-Objekte steuern. Diese grundlegenden Arten von Zugriffsberechtigungen sind verfügbar:

  • Vollzugriff: Benutzer können Dateien und Verzeichnisse sowie deren Eigenschaften ändern, hinzufügen, verschieben und löschen. Sie können außerdem die Berechtigungseinstellungen für alle Dateien und Unterverzeichnisse ändern.
  • Ändern: Benutzer können Dateien und Dateieigenschaften anzeigen und ändern, unter anderem auch Dateien zu einem Verzeichnis oder Dateieigenschaften zu einer Datei hinzufügen bzw. daraus löschen.
  • Lesen, Ausführen: Benutzer können ausführbare Dateien ausführen, unter anderem auch Skripts.
  • Lesen: Benutzer können Dateien, Dateieigenschaften und Verzeichnisse anzeigen.
  • Schreiben: Benutzer können in eine Datei schreiben und Dateien zu Verzeichnissen hinzufügen.

Was sind Freigabeberechtigungen?

Mit Freigabeberechtigungen wird der Zugriff auf Ordner verwaltet, die in einem Netzwerk freigegeben sind. Sie gelten nicht für Benutzer, die sich lokal anmelden. Freigabeberechtigungen gelten für alle Dateien und Ordner auf der Freigabe, d. h. der Zugriff auf Unterordner oder Objekte auf einer Freigabe kann nicht individuell gesteuert werden. Sie können die Anzahl der Benutzer festlegen, die auf den freigegebenen Ordner zugreifen dürfen. Freigabeberechtigungen können unter den Dateisystemen NTFS, FAT und FAT32 verwendet werden.

Es gibt drei Arten von Freigabeberechtigungen: Vollzugriff, Ändern und Lesen. Bei allen Berechtigungen können Sie mit den Optionen „Zulassen“ und „Verweigern“ den Zugriff auf freigegebene Ordner oder Laufwerke steuern.

  • Lesen: Benutzer können Namen von Dateien und Unterordnern anzeigen, Daten in Dateien lesen und Programme ausführen. Der Gruppe „Jeder“ ist standardmäßig die Berechtigung „Lesen“ zugewiesen.
  • Ändern: Benutzer können dieselben Aufgaben ausführen wie mit der Berechtigung „Lesen“ und außerdem Dateien und Unterordner hinzufügen, Daten in Dateien ändern sowie Unterordner und Dateien löschen. Diese Berechtigung ist nicht standardmäßig zugewiesen.
  • Vollzugriff: Benutzer können dieselben Aufgaben ausführen wie mit den Berechtigungen „Lesen“ und „Ändern“ und außerdem die Berechtigungen für NTFS-Dateien und -Ordner ändern. Der Gruppe „Administratoren“ ist standardmäßig die Berechtigung „Vollzugriff“ zugewiesen.

NTFS-Berechtigungen und Freigabeberechtigungen im Vergleich

Diese Unterschiede zwischen NTFS-Berechtigungen und Freigabeberechtigungen müssen Sie beachten:

  • Freigabeberechtigungen lassen sich einfach anwenden und verwalten, doch NTFS-Berechtigungen ermöglichen eine detailliertere Kontrolle von freigegebenen Ordnern und ihren Inhalten.
  • Werden Freigabeberechtigungen und NTFS-Berechtigungen parallel verwendet, gilt stets die strengere Berechtigung. Wenn beispielsweise der Gruppe „Jeder“ für einen freigegebenen Ordner die Freigabeberechtigung „Lesen“ und die NTFS-Berechtigung „Ändern“ erteilt wurde, gilt die Freigabeberechtigung, da sie enger gefasst ist. Die Benutzer können demnach die Dateien auf dem freigegebenen Laufwerk nicht ändern.
  • Freigabeberechtigungen können für die Freigabe von Ordnern in FAT- und FAT32-Dateisystemen verwendet werden, NTFS-Berechtigungen nicht.
  • NTFS-Berechtigungen gelten für Benutzer, die auf dem Server lokal angemeldet sind, Freigabeberechtigungen nicht.
  • Im Gegensatz zu NTFS-Berechtigungen können Sie mit Freigabeberechtigungen die Anzahl der gleichzeitigen Verbindungen zu einem freigegebenen Ordner beschränken.
  • Freigabeberechtigungen werden in den Einstellungen „Berechtigungen“ mit den Eigenschaften „Erweiterte Freigabe“ konfiguriert. NTFS-Berechtigungen werden in den Datei- oder Ordnereigenschaften auf der Registerkarte „Sicherheit“ konfiguriert.

Ändern von NTFS-Berechtigungen

So ändern Sie NTFS-Berechtigungen:

  1. Öffnen Sie die Registerkarte „Sicherheit“.
  2. Klicken Sie im Dialogfeld „Eigenschaften“ des Ordners auf „Bearbeiten“.
  3. Klicken Sie auf den Namen des Objekts, für das Sie die Berechtigungen ändern möchten.
  4. Wählen Sie für die einzelnen Einstellungen jeweils „Zulassen“ oder „Verweigern“.
  5. Klicken Sie auf „Übernehmen“, um die Berechtigungen anzuwenden.

Alternativ können Sie NTFS-Berechtigungen auch mit PowerShell ändern.

Ändern von Freigabeberechtigungen

So ändern Sie Freigabeberechtigungen:

  1. Klicken Sie mit der rechten Maustaste auf den freigegebenen Ordner.
  2. Klicken Sie auf „Eigenschaften“.
  3. Öffnen Sie die Registerkarte „Freigabe“.
  4. Klicken Sie auf „Erweiterte Freigabe“.
  5. Klicken Sie auf „Berechtigungen“.
  6. Wählen Sie in der Liste einen Benutzer oder eine Gruppe aus.
  7. Wählen Sie für die einzelnen Einstellungen jeweils „Zulassen“ oder „Verweigern“.

Best Practices für die Vergabe von Berechtigungen

  • Weisen Sie Berechtigungen nicht Benutzerkonten, sondern Gruppen zu. Dadurch wird die Verwaltung freigegebener Ressourcen vereinfacht. Wenn sich die Rolle eines Benutzers ändert, können Sie ihn einfach zu den entsprechenden neuen Gruppen hinzufügen und aus Gruppen entfernen, die für den Benutzer nicht länger relevant sind.
  • Setzen Sie das Prinzip der geringsten Rechte durch: Gewähren Sie Benutzern ausschließlich die Rechte, die sie tatsächlich benötigen. Wenn ein Benutzer beispielsweise die Informationen in einem Ordner lesen muss, aber keinen legitimen Grund für das Löschen, Erstellen oder Ändern von Dateien hat, stellen Sie sicher, dass er ausschließlich über die Berechtigung „Lesen“ verfügt.
  • Verwenden Sie für lokale Benutzer ausschließlich NTFS-Berechtigungen: Freigabeberechtigungen gelten nur für Benutzer, die über das Netzwerk auf freigegebene Ressourcen zugreifen, nicht jedoch für Benutzer, die sich lokal anmelden.
  • Platzieren Sie Objekte mit denselben Sicherheitsanforderungen im selben Ordner: Wenn Benutzer beispielsweise die Berechtigung „Lesen“ für verschiedene Ordner benötigen, die von einer Abteilung verwendet werden, speichern Sie diese Ordner im gleichen übergeordneten Ordner und geben Sie diesen übergeordneten Ordner frei, anstatt jeden Ordner einzeln freizugeben.
  • Wählen Sie für die Berechtigungen der Gruppe „Jeder“ nicht „Verweigern“: Der Gruppe „Jeder“ gehören alle Benutzer an, die Zugriff auf freigegebene Ordner haben, unter anderem auch das Konto „Gast“. Lediglich die Gruppe „Anonyme Anmeldung“ ist hiervon ausgenommen.
  • Vermeiden Sie die explizite Verweigerung von Berechtigungen für eine freigegebene Ressource: Für gewöhnlich sollten Sie Berechtigungen nur dann explizit verweigern, wenn Sie bestimmte, bereits zugewiesene Berechtigungen außer Kraft setzen möchten.
  • Gewähren Sie der Gruppe „Administratoren“ die Berechtigung „Vollzugriff“ für den übergeordneten freigegeben Ordner: Mit dieser Strategie können Administratoren Berechtigungen verwalten, Zugriffslisten exportieren und Änderungen an allen Berechtigungen, Dateien und Ordnern nachverfolgen.
  • Behalten Sie genau im Blick, welche Benutzer der Gruppe „Administratoren“ angehören: Benutzer in dieser Gruppe verfügen über die Berechtigung „Vollzugriff“ für alle freigegebenen Dateien und Ordner. Sie sollten Änderungen an der Zugehörigkeit zu dieser Gruppe daher sorgfältig überwachen. Verwenden Sie hierfür eine Überwachungsrichtlinie und das Sicherheitsereignisprotokoll oder Lösungen von Drittanbietern, die Sie in Echtzeit über Änderungen an dieser Gruppe benachrichtigen sowie regelmäßige Nachweise für alle Benutzerberechtigungen ermöglichen.

Weitere Informationen hierzu finden Sie in den Best Practices für die Verwaltung von NTFS-Berechtigungen.

Verwenden nur eines Berechtigungssatzes

Wenn Ihnen das Verwenden zwei separater Berechtigungssätze zu kompliziert ist, können Sie auch einfach nur Freigabeberechtigungen verwenden. Sie müssen lediglich die Freigabeberechtigung „Vollzugriff“ für den Ordner wählen und können dann die NTFS-Berechtigungen beliebig ändern, ohne sich Gedanken über mögliche Konflikte mit den Freigabeberechtigungen machen zu müssen.

Zusammenfassung

Wenn Sie die Unterschiede zwischen Freigabe- und NTFS-Berechtigungen kennen, können Sie beide Berechtigungssätze gemeinsam verwenden, um einen sicheren Zugriff auf lokale und freigegebene Ressourcen zu gewährleisten. Indem Sie die in diesem Artikel beschriebenen Richtlinien und Best Practices befolgen, können Sie die Sicherheit Ihrer IT-Umgebung weiter optimieren.

Tutorial zur Skripterstellung  mit Windows PowerShell für Einsteiger