NTFS-Berechtigungen, Zugriffssteuerung mit NTFS
NTFS ist entwickelt worden, weil die bis dahin gängigen Dateisysteme FAT und FAT32 den professionellen Ansprüchen nicht mehr genügten. Beispielsweise war die maximale Kapazität einer Festplatte unter FAT auf 2 GB und unter FAT32 auf 32 GB beschränkt. Das NTFS-Dateisystem wurde mit Windows NT eingeführt.
Eine der Stärken von NTFS ist, dass in eine Datei zusätzliche Informationen gespeichert werden können. Dazu gehören vor allem Zugriffsrechte, auch NTFS-Rechte genannt. Dadurch wird ermöglicht, den Zugriff auf lokale Dateien zu regeln. Der Unterschied zu den Dateifreigaben ist, dass Dateifreigaben den Zugriff über das Netzwerk steuern. Meldet sich ein Benutzer jedoch lokal am Rechner an, gelten die Freigabeberechtigungen nicht mehr, da sie nur für Zugriffe von externen Computern gelten. Mit NTFS-Berechtigungen ist es nun möglich, auch den lokalen Zugriff zu steuern, bzw. freizugeben oder zu verhindern. NTFS kann aber noch mehr, z.B. können Freigabeberechtigungen nur auf Ordner angewendet werden. Mit NTFS ist es möglich, jede einzelnen Datei mit NTFS-Rechten zu versehen.
Um die NTFS-Berechtigungen anzusehen oder zu ändern, rufen Sie die Eigenschaften des Ordners oder der Datei auf. Im Register Sicherheit befinden sich die NTFS-Rechte und können hier geändert werden. Bevor NTFS genutzt werden kann, muss der Datenträger mit NTFS formatiert sein. Es ist auch nachträglich möglich, ein FAT32-System in ein NTFS-System umzuformatieren. Ist der Datenträger nicht mit NTFS formatiert, existiert das Register Sicherheit nicht.
Wenn in einer Domänenumgebung auf einem Client ein Ordner erstellt wird, sind bestimmte Gruppen wie im Bild dargestellt standardmäßig mit verschiedenen Berechtigungen versehen. Authentifizierte Benutzer sind die, die sich von einem vertrauenswürdigen Domänencontroller authentifiziert haben. Die Gruppe System ist eine Pseudogruppe des Systems, die benötigt wird, wenn vom System auf den Ordner zugegriffen wird. In der Gruppe Administratoren sind wie der Namen schon sagt, Administratoren zusammengefasst. Unter <Rechnername>\Benutzer sind die lokalen Benutzer.
Für jeden Benutzer oder Gruppe sind die Berechtigungen im unteren Bereich aufgelistet. Wenn man das mit den Freigabeberechtigungen vergleicht, stellt man fest, dass es hier wesentlich mehr Berechtigungen gibt.
Klicken Sie im Register Sicherheit auf die Schaltfläche Bearbeiten, können Sie im nächsten Fenster über die Schaltflächen Hinzufügen und Entfernen weitere Benutzergruppen zu den Berechtigten hinzufügen oder von der Berechtigung ausschließen.
Für jeden Benutzer/Gruppe können Sie im unteren Bereich die Rechte vergeben.
Für die Gruppen, die standardmäßig berechtigt werden, z.B. die Authentifizierten Benutzer, können Sie die Berechtigungen nicht ändern. Im unteren Bereich sind die gesetzten Häkchen leicht ausgegraut. Auch können Sie die Gruppe nicht entfernen.
Das liegt daran, dass dieser Gruppe von übergeordneten Berechtigungen die Rechte auf diesen Ordner vererbt werden. Die Übernahme von übergeordneten Berechtigungen muss deaktiviert werden, damit auch für diese Gruppen die Berechtigungen separat vergeben werden kann.
Klicken Sie im Register Sicherheit auf die Schaltfläche Erweitert, bekommen Sie eine erweiterte Ansicht der Berechtigungen.
Hier ist insbesondere die Spalte Geerbt von interessant. In unserem Beispiel sehen wir, dass die Gruppe _Vertrieb Nord keine übergeordneten Berechtigungen geerbt hat. Das ist deshalb so, weil diese Gruppe in übergeordneten Objekten noch keine Berechtigung hatte.
Die restlichen Gruppen waren bereits auf Laufwerk C:\ berechtigt. Daher wurde die Berechtigung auch für diesen Ordner erteilt. Die Berechtigung wurde also geerbt.
Verantwortlich dafür ist der Haken bei Vererbbare Berechtigungen des übergeordneten Objekts einschließen. Um die Einstellungen zu ändern, klicken Sie auf Berechtigungen ändern.
In diesem Fenster können Sie nun alle Einstellungen vornehmen. Über die Schaltfläche Hinzufügen, Entfernen und Bearbeiten können Sie weitere Benutzer hinzufügen, entfernen oder die Berechtigungen ändern.
Wenn Sie den Haken bei Vererbbare Berechtigungen des übergeordneten Objekts einschließen entfernen, werden automatisch alle Benutzer und Gruppen entfernt, die ihre Berechtigung nur deshalb hatten, weil sie ihre Berechtigung geerbt haben. Damit wird die Vererbung von übergeordneten Objekten ausgeschaltet.
Die andere Option, Alle Berechtigungen für untergeordnete Objekte durch vererbbare Berechtigung von diesem Objekt ersetzen, bewirkt, dass die Berechtigungen an die Unterordner/Dateien weitergegeben werden. Untergeordnete Objekte erben die Berechtigungen von diesem Objekt.