Freigabe- und NTFS-Berechtigungen auf einem Dateiserver

Betrifft: Windows 7, Windows Server 2008 R2

Der Zugriff auf einen Ordner auf einem Dateiserver kann über zwei Berechtigungseintragssätze bestimmt werden: den Freigabeberechtigungssatz für einen Ordner und den NTFS-Berechtigungssatz für den Ordner (der auch für Dateien festgelegt werden kann). Freigabeberechtigungen werden oft verwendet für das Verwalten von Computern mit FAT32-Dateisystemen oder von anderen Computern, die das NTFS-Dateisystem nicht verwenden.

Freigabeberechtigungen und NTFS-Berechtigungen sind insofern unabhängig voneinander, als dass sie sich nicht gegenseitig ändern. Zum Bestimmen der endgültigen Zugriffsberechtigungen für einen freigegebenen Ordner wird sowohl der Freigabeberechtigungseintrag als auch der NTFS-Berechtigungseintrag berücksichtigt. Es werden dann die Berechtigungen mit den größten Einschränkungen angewendet.

In der folgenden Tabelle werden äquivalente Berechtigungen vorgeschlagen, die der Gruppe Benutzer für bestimmte freigegebene Ordnertypen durch einen Administrator erteilt werden können. Eine weitere Herangehensweise besteht darin, Freigabeberechtigungen für die Gruppe Jeder auf Vollzugriff festzulegen und ausschließlich auf NTFS-Berechtigungen zurückzugreifen, um den Zugriff einzuschränken.

 

Ordnertyp Freigabeberechtigungen NTFS-Berechtigungen

Öffentlicher Ordner: Ein Ordner, auf den jeder zugreifen kann.

Erteilen Sie der Gruppe Benutzer die Berechtigung Ändern.

Erteilen Sie der Gruppe Benutzer die Berechtigung Ändern.

Ablageordner: Ein Ordner, in dem Benutzer vertrauliche Berichte oder Hausaufgaben ablegen können, die nur der Abteilungsleiter oder Kursleiter lesen kann.

Erteilen Sie der Gruppe Benutzer die Berechtigung Ändern.

Erteilen Sie der Gruppenleitung die Berechtigung Vollzugriff.

Erteilen Sie der Gruppe Benutzer eine Schreibberechtigung, die auf Nur diesen Ordner angewendet wird. (Diese Option ist auf der Seite Erweitert verfügbar.)

Wenn jeder Benutzer bestimmte Berechtigungen für die von ihm abgelegten Dateien benötigt, können Sie einen Berechtigungseintrag für den bekannten Sicherheitsbezeichner (Security Identifier, SID) des Ersteller-Besitzers erstellen und diesen auf Nur Unterordner und Dateien anwenden. Beispielsweise können Sie dem SID des Ersteller-Besitzers Lese- und Schreibberechtigung für den Ablageordner erteilen und diese auf alle Unterordner und Dateien anwenden. Dadurch wird dem Benutzer, der die Datei abgelegt oder erstellt hat (der Ersteller-Besitzer), die Möglichkeit gegeben, die Datei zu lesen und in sie zu schreiben. Der Ersteller-Besitzer kann dann über den Befehl Ausführen mithilfe von \\ServerName\DropFolder\FileName auf die Datei zugreifen.

Erteilen Sie der Gruppenleitung die Berechtigung Vollzugriff.

Anwendungsordner: Ein Ordner mit Anwendungen, die über das Netzwerk ausgeführt werden können.

Erteilen Sie der Gruppe Benutzer eine Leseberechtigung.

Erteilen Sie der Gruppe Benutzer die Berechtigungen Lesen, Lesen und Ausführen und Ordnerinhalt auflisten.

Basisordner: Ein einzelner Ordner für jeden Benutzer. Nur der Benutzer hat Zugriff auf den Ordner.

Erteilen Sie den einzelnen Benutzern für den entsprechenden Ordner die Berechtigung Vollzugriff.

Erteilen Sie den einzelnen Benutzern für den entsprechenden Ordner die Berechtigung Vollzugriff.

Weitere Überlegungen

  • Wenn Sie einem Benutzer die NTFS-Berechtigung Vollzugriff für einen Ordner erteilen, kann dieser Benutzer den Besitz des Ordners übernehmen, solange der Benutzer nicht anderweitig eingeschränkt ist. Gehen Sie mit dem Erteilen des Vollzugriffs vorsichtig um.

  • Wenn Sie für die Verwaltung des Zugriffs auf Ordner ausschließlich NTFS-Berechtigungen verwenden möchten, legen Sie für die Freigabeberechtigungen den Vollzugriff für die Gruppe Jeder fest.

  • NTFS-Berechtigungen wirken sich sowohl auf den lokalen als auch auf den Remotezugriff aus. NTFS-Berechtigungen gelten unabhängig vom Protokoll. Freigabeberechtigungen hingegen gelten nur für Netzwerkfreigaben. Mit Freigabeberechtigungen wird der Zugriff für den Computer, für den Sie Freigabeberechtigungen festgelegt haben, nicht auf einen lokalen Benutzer oder auf einen Terminalserverbenutzer eingeschränkt. Demnach wird mit Freigabeberechtigungen kein Datenschutz zwischen Benutzern an einem Computer bereitgestellt, der von mehreren Benutzern verwendet wird. Dies gilt ebenso für einen Terminalserver, auf den mehrere Benutzer zugreifen.

  • Standardmäßig beinhaltet die Gruppe Jeder nicht die Gruppe Anonym, sodass auf die Gruppe Jeder angewendete Berechtigungen sich nicht auf die Gruppe Anonym auswirken.

Weitere Verweise

Community-Beiträge

HINZUFÜGEN
Anzeigen: