NTFS-Zugriffsberechtigungen bieten eine gute Kontrolle, wenn es um die Ressourcen von Systemen geht. Vergleicht man das alte NTFS von Windows NT mit dem neuen NTFS von Windows 2000, Windows Server 2003 und Windows XP, ergeben sich viele Ähnlichkeiten aber auch einige Unterschiede.
Die meisten erfahrenen Administratoren sind mit der Tatsache vertraut, dass Berechtigungen im New Technology File System (NTFS) auf jede Datei, jeden Ordner, Registrierungsschlüssel, Drucker und jedes Objekt im Active Directory anwendbar sind. Das NTFS wurde zuerst mit Windows NT eingeführt und ersetzte das Dateisystem File Allocation Table (FAT). Im Laufe der Jahre hat NTFS einige Veränderungen erlebt. Windows 2000, Windows Server 2003 und Windows XP nutzen die gegenwärtige Version NTFS v5.
Vergleicht man das alte NTFS (von Windows NT) mit dem aktuellen NTFS, ergeben sich viele Ähnlichkeiten und einige Unterschiede. Das wird im Folgenden näher ausgeführt.
Vergleich: Standard-Berechtigungen und erweiterte Berechtigungen
Man kann die NTFS-Berechtigung auf Zulassen oder Verweigern einstellen. Hier ein Überblick über die Standard-Berechtigungen im alten NTFS:
- Vollzugriff: Benutzer können Dateien sowie damit verbundene Eigenschaften und Verzeichnisse ändern, hinzufügen, verschieben oder löschen. Zudem können sie feste Einstellungen für alle Dateien und Unterverzeichnisse ändern.
- Ändern: Benutzer sind in der Lage, Datei und Dateieigenschaften anzusehen und zu ändern. Außerdem können sie Dateien einem Verzeichnis hinzufügen oder daraus löschen beziehungsweise Dateieigenschaften einer Datei zufügen oder daraus löschen.
- Lesen und ausführen: User können ausführbare Dateien, einschließlich Scripts, laufen lassen.
- Lesen: Dateien und Dateieigenschaften lassen sich einsehen.
- Schreiben: In eine Datei kann geschrieben werden.
- Ordner durchsuchen/Datei ausführen: Benutzer können durch Ordner navigieren, um zu anderen Dateien oder Ordnern zu gelangen, auch wenn sie für die durchsuchten Dateien oder Ordner keine Zugriffsberechtigungen haben. Die "Ordner durchsuchen"-Berechtigung tritt nur dann in Kraft, wenn die Gruppe oder Benutzer nicht über das Benutzerrecht "Bypass Traverse Checking" ("Traversale Überprüfung übergehen") im Gruppenrichtlinien-Snap-in verfügen. (Standardmäßig hat die Gruppe "Jeder" das Benutzerrecht "Bypass Traverse Checking".)
- Ordner auflisten/Daten lesen: Benutzer können eine Liste der Inhalte und Dateien eines Ordners ansehen.
- Attribute lesen: Benutzer können die Attribute einer Datei oder eines Ordners ansehen, zum Beispiel schreibgeschützt und versteckt. (NTFS definiert diese Attribute.)
- Erweiterte Attribute lesen: Benutzer können die erweiterten Attribute einer Datei oder eines Ordners ansehen. (Da sie von Programmen definiert werden, können erweiterte Attribute unterschiedlich sein.)
- Dateien erstellen/Daten schreiben: Die Berechtigung zum Erstellen einer Datei erlaubt Benutzern, Dateien innerhalb des Ordners zu erstellen. (Diese Zugriffsberechtigung gilt nur für Ordner.) Die Berechtigung zum Schreiben von Daten lässt Nutzer Änderungen an der Datei vornehmen und bestehende Inhalte überschreiben. (Diese Berechtigung gilt nur für Dateien.)
- Ordner erstellen/Daten anhängen: Die Berechtigung zum Erstellen von Ordnern ermöglicht es Benutzern, Ordner innerhalb eines Ordners zu erstellen. (Dies gilt nur für Ordner.) Die Berechtigung zum Anhängen von Daten erlaubt Benutzern, Änderungen am Ende der Datei vorzunehmen, nicht aber, bestehende Daten zu ändern, zu löschen oder zu überschreiben. (Diese Zugriffsberechtigung gilt nur für Dateien.)
- Attribute schreiben: Benutzer können die Attribute einer Datei oder eines Ordners ändern, zum Beispiel schreibgeschützt oder versteckt. (NTFS definiert diese Attribute.)
- Erweiterte Attribute schreiben: Benutzer können die erweiterten Attribute einer Datei oder eines Ordners ändern.
- Löschen: Benutzer können eine Datei oder einen Ordner löschen. (Wenn Benutzer keine Berechtigung zum Löschen einer Datei oder eines Ordners haben, können sie dennoch löschen, wenn sie im Stammordner die Berechtigung "Unterordner und Dateien löschen" haben.)
- Lesen: Benutzer haben die Berechtigung zum Lesen der Datei oder des Ordners, zum Beispiel Vollzugriff, Lesen und Schreiben.
- Ändern: Benutzer haben die Berechtigung zum Ändern einer Datei oder eines Ordners, zum Beispiel Vollzugriff, Lesen und Schreiben.
- Besitz übernehmen: Benutzer können den Besitz einer Datei oder eines Ordners übernehmen. Der Besitzer einer Datei oder eines Ordners kann die Berechtigungen darauf immer ändern, ohne Rücksicht auf bestehende Berechtigungen, welche die Datei oder den Ordner schützen.
Hier die Hierarchie der Berechtigungen:
- Explizit verweigern
- Explizit erlauben
- Ererbt verweigern
- Ererbt erlauben
Wenn ein Benutzer auf eine Datei, einen Ordner, Registrierungsschlüssel, Drucker oder ein Objekt des Active Directory zugreift, überprüft das System die Berechtigungen von oben nach unten. Sieht es eine der vier Bedingungen als erfüllt an, erlaubt oder verweigert es den Zugriff. So lassen sich für ein Objekt eine Berechtigungsvererbung festlegen und Ausnahmeregelungen zur allgemeinen Berechtigungsrichtlinie exakt kontrollieren.
Fazit
Die NTFS-Berechtigungen bieten eine gute Kontrolle, wenn es um die Ressourcen von Systemen geht. Wenn man Probleme mit Benutzern hat, die in der jeweiligen Active-Directory-Struktur nicht auf erforderliche Daten oder Objekte zugreifen können, genügt ein Blick auf die Hierarchie für die Berechtigungen, um das Problem aufzuspüren.