Cookies helfen uns bei der Bereitstellung unserer Website. Durch die Nutzung der Website erklären Sie sich damit einverstanden, dass wir Cookies setzen.

Mehr erfahren
Info

www.parks-informatik.de

NTFS Fileserver

Berechtigungen auf einem NTFS-Fileserver festlegen

Beim Management der Zugriffsrechte auf einem NTFS-Fileserver gestaltet sich die Ausgabe neuer Berechtigungen mit den von Windows mitgelieferten Funktionen recht einfach. Laden Sie zunächst den oder die Verzeichnisse, deren Freigaben Sie verändern möchten, auf Ihren Fileserver. Gehen Sie dann wie folgt vor:

  1. Markieren Sie den Ordner mit einem Rechtsklick.
  2. Klicken Sie im sich öffnenden Kontextmenü auf „Eigenschaften“.
  3. Wählen Sie dann den Reiter „Sicherheit“. Ihnen wird eine Liste mit verfügbaren Gruppen und Benutzern angezeigt, sowie alle verfügbaren Berechtigungen.
  4. Wählen Sie nacheinander die Gruppen oder Benutzer, deren Berechtigungen Sie verwalten wollen und klicken Sie auf „Bearbeiten…“
  5. Markieren Sie die Berechtigungen, die Sie explizit freigeben oder entziehen wollen und klicken Sie auf „Übernehmen“.

Vorsicht: Dieser Prozess ist zeitintensiv und muss für jedes (Ober-)Verzeichnis und jeden Nutzer manuell durchgeführt werden. Eine einfache Alternative dazu bietet die Rechtemanagement Software Parks Authorization Manager.

Der Parks Authorization Manager unterstützt Sie bei der Analyse vergebener NTFS-Rechte auf Fileservern

Da der mitgelieferte Windows Verzeichnisdienst Active Directory weder eine Analysefunktion noch eine Dokumentation mitbringt, wird es zunehmend schwerer, sicherzustellen, dass alle NTFS-Rechte korrekt vergeben wurden. Ein Beispiel für eine Rechtemanagement Software, die dem Abhilfe schafft, ist PAM, der Parks Authorization Manager. PAM liefert einfach zu bedienende, aufschlussreiche Analysetools und erlaubt die Korrektur falsch gesetzter Berechtigungen noch in der Programmmaske.

Analysieren und organisieren: Intelligentes Rechtemanagement für Fileserver

Der Manager ist in der Lage, Anomalitäten bei der Rechtevergabe selbstständig zu prüfen und Ihnen anhand simpler Bildsymbole etwaige Schwachstellen zur Überprüfung aufzuzeigen. Überprüfen und verwalten Sie effektive Berechtigungen Ihrer Benutzer mit wenigen Klicks. Zudem lassen sich vollständig zu Active Directory kompatible Verzeichnisstrukturen als Vorlage entwerfen und frei anpassen, um so eine möglicherweise dringend benötigte Rodung und Neubepflanzung ihres Domänenwalds vorzunehmen

Suchergebnisse auf NTFS-Fileservern auslesen und exportieren

Mit einer Suchmaske, die sowohl Volltext- als auch Präfix- oder Auslassungs-Suche zulässt, sehen Sie schnell, wer Zugriff auf welche Verzeichnisse besitzt und durch welche Einstellungen er oder sie sie erhält. Um den Überblick zu behalten, können Sie Berichte erstellen lassen, mit denen Sie überzeitliche Veränderungen in der Rechtestruktur festhalten können. Bei besonders komplexen Verzeichnisstrukturen ist es mit PAM möglich, die Tiefe jeder Analyse selbst festzulegen und die Ergebnisse lassen sich entweder direkt in einer Datenbank ablegen oder zur weiteren Auswertung in den Dateiformaten .pdf und .txt exportieren.

Wie hilft mir Active Directory im Unternehmensalltag weiter?

Für die Organisation Ihres Unternehmens relevant ist die Funktion von Active Directory, Gruppen mit Berechtigungen bilden zu können, denen Sie Mitglieder durch angelegte Benutzerkonten zuweisen. Es gibt drei Arten von Gruppen: globale, domänenlokale und universelle Gruppen. Im Zusammenspiel helfen diese Ihnen durch geschicktes Rechtemanagement dabei, genau festzulegen, welche ihrer Mitarbeiter auf welche Dateien Zugriff erhalten.

  1. Globale Gruppen: Diese Gruppen erhalten grundsätzlich Zugriffsrechte auf alle Verzeichnisse innerhalb ihrer eigenen Domäne. Umgekehrt können Sie von allen Konten innerhalb der Gesamtstruktur gesehen werden. Sie können die Berechtigungen natürlich an dieser Stelle bereits festlegen, es empfiehlt sich aber, globale Gruppen als Auffangbecken für alle Mitarbeiter einer bestimmten Abteilung zu verwenden.
  2. 2. Domänenlokale Gruppen: Domänenlokale Gruppen sind nur in der jeweiligen Domäne einsehbar. Dadurch ist bereits eine Sicherheitsbarriere errichtet. Empfehlenswert ist, die für die jeweiligen Abteilungen relevanten Einschränkungen an diesen Gruppen vorzunehmen und eindeutig mit den jeweiligen Berechtigungen zu beschriften, falls mehrere Profile innerhalb derselben Abteilung notwendig sind.
  3. Universelle Gruppen: Verhalten sich wie globale Gruppen, sind allerdings nicht auf die Sichtbarkeit und den Zugriff innerhalb der eigenen Domäne beschränkt und können Zugriff auf andere Domänen in Vertrauensstellung erhalten.

Das vorgeschlagene Zusammenspiel von globalen und domänenlokalen Gruppen nennt sich AGDLP-Strategie: Accounts in global groups in domain local groups which get permissions.

Welche Arten von Berechtigungen gibt es auf Fileservern unter NTFS?

Anders als bei einer Windows Freigabe gibt eine NTFS-Berechtigungen mehr Auswahlmöglichkeiten. Zu „Vollzugriff“, „Ändern“ und „Lesen“ gesellen sich noch die Kombinationen „Lesen, Ausführen“, „Ordnerinhalt anzeigen“ und „Schreiben“. Konkret bedeuten alle Sechs:

 

  1. Vollzugriff: Benutzer können Verzeichnisse und Dateien lesen, ausführen, ändern, löschen, neue Dateien anlegen und die Berechtigungsoptionen für alle Dateien und Unterverzeichnisse ändern.
  2. 2. Ändern: Gestattet Benutzern, auf die Dateien zu öffnen, zu verändern und auch zu löschen.
  3. Lesen: Gestattet Benutzern nur, die Dateien zu öffnen, nicht, sie zu bearbeiten.
  4. Lesen, Ausführen: Erlaubt neben der Ansicht auch das Ausführen von Skripten.
  5. Ordnerinhalt anzeigen: Benutzer können den Ordnerinhalt als Liste betrachten, sie können keine Dateien öffnen, ausführen oder verändern.
  6. Schreiben: Benutzer dürfen Dateien und Unterverzeichnisse erstellen sowie vorhandene Dateien zu ergänzen.

Warum sollte ich einen NTFS-formatierten Fileserver nutzen?

Ein Unternehmensnetzwerk über einen zentralen Fileserver zu steuern, spart Ihnen grundsätzlich die Zeit, die sie benötigen würden, jeden Ihrer Mitarbeiter auf jedem PC und in jedem Dienst darauf anzumelden. Im Gegensatz zu vorhergehenden Windows Dateisystemen wie FAT erlaubt NTFS wie weiter oben ausgeführt die Vergabe und Verwaltung erweiterter Berechtigungen, die eine Feinabstimmung der IT-Infrastruktur Ihres Unternehmens-Netzwerkes erlauben. Darüber hinaus ist mit NTFS das Abspeichern größerer Dateien von bis zu 16 Exbibyte möglich. Bei FAT32 war hier schon ab 4 Gigabyte Schluss. Des Weiteren sind mit NTFS Dateinamen bis zu 255 Zeichen nativ möglich, mit Dateipfaden, die eine maximale Länge von 32.767 Zeichen zulassen. Gerade bei verzweigten Verzeichnisstrukturen ist so ein reibungsloser Zugriff auch auf Dateien in diversen Unterordnern noch möglich, während es unter FAT32 möglich war, dass man sich versehentlich aussperrte, indem man Verzeichnisse zu tief anlegte. Genauso gut konnte es vorkommen, dass man die Verzeichnisse schlicht nicht anlegen konnte. Darüber hinaus besitzt NTFS eine höhere Datensicherheit als FAT32, das nach einem Absturz sehr anfällig für Datenverlust war.

Was kann ohne Berechtigungsmanagement auf meinem Fileserver passieren?

Wenn Sie kein Berechtigungsmanagement betreiben, ist der erste Schritt über kurz oder lang eine deutliche Verlangsamung der Arbeitsabläufe auf Seiten der IT. Ohne Richtlinien zur Domänenstruktur und Verzeichnisbeschriftung verliert die Architektur Ihres NTFS-Fileservers zunehmend an Übersichtlichkeit, sodass auftretende Probleme nicht mehr zügig von der IT bearbeitet werden können. Da die Probleme länger bestehen, hindert das auch den Rest Unternehmens an der Erfüllung der jeweiligen Aufgaben. Sie werden also Ihr Arbeitspensum in immer längeren Zeitabständen bewältigen müssen und damit Ihre Produktivität senken. Das ist aber vergleichsweise harmlos verglichen mit den Folgen einer versehentlich zu hoch eingestuften Rechtevergabe an der falschen Stelle. Hier sehen Sie potentiellem Datendiebstahl oder Manipulation von Geschäftsdokumenten ins Auge. Es muss kein untreuer Mitarbeiter dafür verantwortlich sein — ein Häkchen an der falschen Stelle bietet ein willkommenes Angriffsziel für Hacker. Industriespionage sind im Ernstfall im wahrsten Sinne Tür und Tor geöffnet. Daher ist es in Ihrem besten Interesse, regelmäßig die Infrastruktur Ihres NTFS-Fileservers zu prüfen und die Analyseergebnisse nachzuhalten, um auftretende Lücken zu schließen.

Testen Sie jetzt kostenlos unseren Parks Authorization Manager!

Gelangen Sie jetzt zu unserem Download und testen Sie unverbindlich und ohne Risiko die Demo-Version.