Wie man die verwirrenden Windows 7 Datei-/Freigabeberechtigungen versteht

  • Taylor Gibb

    @taybgibb

  • Aktualisiert am 28. Oktober 2019, 8:49 Uhr EDT

Haben Sie jemals versucht, alle Berechtigungen in Windows zu verstehen? Es gibt Freigabeberechtigungen, NTFS-Berechtigungen, Zugriffssteuerungslisten und vieles mehr. Hier ist, wie sie alle zusammenarbeiten.

Die Sicherheitskennung

Die Windows-Betriebssysteme verwenden SIDs, um alle Sicherheitsprinzipien zu repräsentieren. SIDs sind einfach Zeichenfolgen variabler Länge aus alphanumerischen Zeichen, die Rechner, Benutzer und Gruppen repräsentieren. SIDs werden jedes Mal zu ACLs (Access Control Lists) hinzugefügt, wenn Sie einem Benutzer oder einer Gruppe die Berechtigung für eine Datei oder einen Ordner erteilen. Hinter den Kulissen werden SIDs genauso wie alle anderen Datenobjekte gespeichert, nämlich binär. Wenn Sie jedoch eine SID in Windows sehen, wird sie in einer besser lesbaren Syntax angezeigt. Das häufigste Szenario ist, wenn Sie jemandem die Berechtigung für eine Ressource erteilen und das Benutzerkonto dann gelöscht wird, dann wird es als SID in der ACL angezeigt. Werfen wir also einen Blick auf das typische Format, in dem SIDs in Windows angezeigt werden.

Die Notation, die Sie sehen werden, hat eine bestimmte Syntax, unten sind die verschiedenen Teile einer SID in dieser Notation.

  1. Ein ‚S‘-Präfix
  2. Strukturrevisionsnummer
  3. Ein 48-Bit-Identifizierungsautoritätswert
  4. Eine variable Anzahl von 32-Bit-Subautoritäts- oder relativen Identifizierungswerten (RID)
Werbung

Anhand meiner SID in der Abbildung unten werden wir die verschiedenen Abschnitte zum besseren Verständnis aufschlüsseln.

Die SID-Struktur:

‚S‘ – Der erste Bestandteil einer SID ist immer ein ‚S‘. Dieses wird allen SIDs vorangestellt und dient dazu, Windows mitzuteilen, dass es sich bei dem, was folgt, um eine SID handelt.
‚1‘ – Die zweite Komponente einer SID ist die Revisionsnummer der SID-Spezifikation, die bei einer Änderung der SID-Spezifikation die Abwärtskompatibilität gewährleistet. Ab Windows 7 und Server 2008 R2 befindet sich die SID-Spezifikation noch in der ersten Revision.
‚5‘ – Der dritte Abschnitt einer SID wird als Identifier Authority bezeichnet. Hier wird definiert, in welchem Bereich die SID erzeugt wurde. Mögliche Werte für diesen Abschnitt der SID können sein:

  1. 0 – Null-Autorität
  2. 1 – Welt-Autorität
  3. 2 – Lokale Autorität
  4. 3 – Ersteller-Autorität
  5. 4 – Nicht eindeutige Autorität
  6. 5 – NT-Autorität

’21‘ – Die vierte Komponente ist die Unter-Autorität 1, der Wert ’21‘ wird im vierten Feld verwendet, um anzugeben, dass die folgenden Unter-Autoritäten den lokalen Rechner oder die Domäne identifizieren.
‚1206375286-251249764-2214032401‘ – Dies sind die Unterberechtigungen 2, 3 bzw. 4.
‚1000‘ – Die Unterberechtigung 5 ist die letzte Komponente in unserer SID und wird als RID (Relative Identifier) bezeichnet. Die RID ist relativ zu jedem Sicherheitsprinzipal, bitte beachten Sie, dass alle benutzerdefinierten Objekte, die nicht von Microsoft geliefert werden, eine RID von 1000 oder höher haben.

Sicherheitsprinzipale

Ein Sicherheitsprinzipal ist alles, was mit einer SID versehen ist, dies können Benutzer, Computer und sogar Gruppen sein. Sicherheitsprinzipale können lokal sein oder im Domänenkontext stehen. Lokale Sicherheitsprinzipale werden über das Snap-In Lokale Benutzer und Gruppen in der Computerverwaltung verwaltet. Um dorthin zu gelangen, klicken Sie mit der rechten Maustaste auf die Computer-Verknüpfung im Startmenü und wählen Sie Verwalten.

Um einen neuen Benutzer-Sicherheitsprinzipal hinzuzufügen, können Sie zum Ordner Benutzer gehen und mit der rechten Maustaste klicken und neuen Benutzer wählen.

Wenn Sie auf einen Benutzer doppelklicken, können Sie ihn auf der Registerkarte „Mitglied von“ zu einer Sicherheitsgruppe hinzufügen.

Werbung

Um eine neue Sicherheitsgruppe zu erstellen, navigieren Sie auf der rechten Seite zum Ordner „Gruppen“. Klicken Sie mit der rechten Maustaste auf die weiße Fläche und wählen Sie Neue Gruppe.

Freigabeberechtigungen und NTFS-Berechtigung

In Windows gibt es zwei Arten von Datei- und Ordnerberechtigungen, zum einen die Freigabeberechtigungen und zum anderen die NTFS-Berechtigungen, auch Sicherheitsberechtigungen genannt. Beachten Sie, dass bei der Freigabe eines Ordners standardmäßig die Gruppe „Jeder“ die Leseberechtigung erhält. Wenn dies der Fall ist, ist es wichtig, daran zu denken, dass immer die restriktivste Berechtigung gilt. Wenn z. B. die Freigabeberechtigung auf „Jeder“ = „Lesen“ eingestellt ist (was die Standardeinstellung ist), aber die NTFS-Berechtigung den Benutzern erlaubt, Änderungen an der Datei vorzunehmen, hat die Freigabeberechtigung Vorrang und die Benutzer können keine Änderungen vornehmen. Wenn Sie die Berechtigungen festlegen, kontrolliert die LSASS (Local Security Authority) den Zugriff auf die Ressource. Wenn Sie sich anmelden, erhalten Sie ein Zugriffstoken mit Ihrer SID. Wenn Sie auf die Ressource zugreifen wollen, vergleicht die LSASS die SID, die Sie der ACL (Zugriffskontrollliste) hinzugefügt haben, und wenn die SID in der ACL enthalten ist, entscheidet sie, ob sie den Zugriff erlaubt oder verweigert. Unabhängig davon, welche Berechtigungen Sie verwenden, gibt es Unterschiede. Sehen wir uns also an, wann wir was verwenden sollten.

Freigabeberechtigungen:

  1. Sie gelten nur für Benutzer, die über das Netzwerk auf die Ressource zugreifen. Sie gelten nicht, wenn Sie sich lokal anmelden, zum Beispiel über Terminaldienste.
  2. Sie gelten für alle Dateien und Ordner in der freigegebenen Ressource. Wenn Sie eine granularere Art von Beschränkungsschema bereitstellen wollen, sollten Sie zusätzlich zu den gemeinsamen Berechtigungen die NTFS-Berechtigung verwenden
  3. Wenn Sie irgendwelche FAT- oder FAT32-formatierten Datenträger haben, wird dies die einzige Form der Beschränkung sein, die Ihnen zur Verfügung steht, da NTFS-Berechtigungen auf diesen Dateisystemen nicht verfügbar sind.

NTFS-Berechtigungen:

  1. Die einzige Einschränkung bei NTFS-Berechtigungen ist, dass sie nur auf einem Volume gesetzt werden können, das mit dem NTFS-Dateisystem formatiert ist
  2. Denken Sie daran, dass NTFS kumulativ ist, was bedeutet, dass die effektiven Berechtigungen eines Benutzers das Ergebnis der Kombination der dem Benutzer zugewiesenen Berechtigungen und der Berechtigungen aller Gruppen sind, denen der Benutzer angehört.

Die neuen Freigabeberechtigungen

Windows 7 brachte eine neue „einfache“ Freigabetechnik mit. Die Optionen änderten sich von Lesen, Ändern und Vollzugriff zu. Lesen und Lesen/Schreiben. Die Idee war Teil der gesamten Home-Group-Mentalität und macht es einfach, einen Ordner für nicht computererfahrene Personen freizugeben. Dies geschieht über das Kontextmenü und die Freigabe für die Stammgruppe ist einfach.

Wenn Sie einen Ordner für jemanden freigeben möchten, der nicht in der Stammgruppe ist, können Sie immer die Option „Bestimmte Personen…“ wählen. Dadurch wird ein ausführlicheres Dialogfeld angezeigt. Hier können Sie einen bestimmten Benutzer oder eine bestimmte Gruppe angeben.

Werbung

Wie bereits erwähnt, gibt es nur zwei Berechtigungen, die zusammen ein Alles-oder-Nichts-Schutzschema für Ihre Ordner und Dateien bieten.

  1. Die Leseberechtigung ist die „Sehen, aber nicht anfassen“-Option. Empfänger können eine Datei öffnen, aber nicht ändern oder löschen.
  2. Lesen/Schreiben ist die Option „alles tun“. Die Empfänger können eine Datei öffnen, ändern oder löschen.

The Old School Way

Der alte Freigabe-Dialog hatte mehr Optionen und gab uns die Möglichkeit, den Ordner unter einem anderen Alias freizugeben, er erlaubte uns, die Anzahl der gleichzeitigen Verbindungen zu begrenzen und die Zwischenspeicherung zu konfigurieren. Keine dieser Funktionen ist in Windows 7 verloren gegangen, sondern ist unter einer Option namens „Erweiterte Freigabe“ versteckt. Wenn Sie mit der rechten Maustaste auf einen Ordner klicken und zu seinen Eigenschaften gehen, finden Sie diese „Erweiterte Freigabe“-Einstellungen unter der Registerkarte „Freigabe“.

Wenn Sie auf die Schaltfläche „Erweiterte Freigabe“ klicken, für die lokale Administratoranmeldeinformationen erforderlich sind, können Sie alle Einstellungen konfigurieren, mit denen Sie in früheren Windows-Versionen vertraut waren.

Wenn Sie auf die Schaltfläche „Berechtigungen“ klicken, werden Ihnen die 3 Einstellungen angezeigt, die wir alle kennen.

  1. Mit der Leseberechtigung können Sie Dateien und Unterverzeichnisse anzeigen und öffnen sowie Anwendungen ausführen. Sie erlaubt jedoch keine Änderungen.
  2. Die Berechtigung „Ändern“ erlaubt alles, was die Berechtigung „Lesen“ erlaubt, und zusätzlich die Möglichkeit, Dateien und Unterverzeichnisse hinzuzufügen, Unterordner zu löschen und Daten in den Dateien zu ändern.
  3. Die „Vollkontrolle“ ist die „Alleskönner“-Berechtigung unter den klassischen Berechtigungen, da sie alle vorherigen Berechtigungen zulässt. Darüber hinaus gibt es Ihnen die erweiterte NTFS-Berechtigung, die nur für NTFS-Ordner gilt

NTFS-Berechtigungen

NTFS-Berechtigungen ermöglichen eine sehr granulare Kontrolle über Ihre Dateien und Ordner. Allerdings kann die Granularität für einen Neuling entmutigend sein. Sie können die NTFS-Berechtigung sowohl für jede einzelne Datei als auch für jeden einzelnen Ordner festlegen. Um die NTFS-Berechtigung für eine Datei festzulegen, klicken Sie mit der rechten Maustaste auf die Datei und gehen Sie zu den Dateieigenschaften, wo Sie die Registerkarte „Sicherheit“ auswählen müssen.

Anzeige

Um die NTFS-Berechtigungen für einen Benutzer oder eine Gruppe zu bearbeiten, klicken Sie auf die Schaltfläche „Bearbeiten“.

Wie Sie sehen, gibt es eine ganze Reihe von NTFS-Berechtigungen, also schlüsseln wir sie auf. Zuerst sehen wir uns die NTFS-Berechtigungen an, die Sie für eine Datei festlegen können.

  1. Volle Kontrolle erlaubt Ihnen, die Datei zu lesen, zu schreiben, zu modifizieren, auszuführen, Attribute und Berechtigungen zu ändern und das Eigentum an der Datei zu übernehmen.
  2. Ändern erlaubt Ihnen, die Datei zu lesen, zu schreiben, zu modifizieren, auszuführen und die Attribute zu ändern.
  3. Lesen & Ausführen erlaubt Ihnen, die Daten, Attribute, den Besitzer und die Berechtigungen der Datei anzuzeigen und die Datei auszuführen, wenn es ein Programm ist.
  4. Lesen ermöglicht es Ihnen, die Datei zu öffnen, ihre Attribute, den Besitzer und die Berechtigungen anzuzeigen.
  5. Schreiben ermöglicht es Ihnen, Daten in die Datei zu schreiben, an die Datei anzuhängen und ihre Attribute zu lesen oder zu ändern.

NTFS-Zugriffsrechte für Ordner haben leicht unterschiedliche Optionen, also sehen wir sie uns einmal an.

  1. Volle Kontrolle erlaubt Ihnen, Dateien im Ordner zu lesen, zu schreiben, zu modifizieren und auszuführen, Attribute und Zugriffsrechte zu ändern und den Besitz des Ordners oder der Dateien darin zu übernehmen.
  2. Ändern ermöglicht das Lesen, Schreiben, Ändern und Ausführen von Dateien im Ordner und das Ändern von Attributen des Ordners oder der darin enthaltenen Dateien.
  3. Lesen & Ausführen ermöglicht das Anzeigen des Ordnerinhalts und das Anzeigen von Daten, Attributen, Eigentümern und Berechtigungen für Dateien im Ordner sowie das Ausführen von Dateien im Ordner.
  4. Ordnerinhalt auflisten ermöglicht das Anzeigen des Ordnerinhalts und das Anzeigen von Daten, Attributen, Eigentümern und Berechtigungen für Dateien im Ordner.
  5. Lesen ermöglicht es Ihnen, die Daten, Attribute, den Eigentümer und die Berechtigungen der Datei anzuzeigen.
  6. Schreiben ermöglicht es Ihnen, Daten in die Datei zu schreiben, an die Datei anzuhängen und ihre Attribute zu lesen oder zu ändern.
Werbung

Microsofts Dokumentation gibt auch an, dass „Ordnerinhalt auflisten“ es Ihnen ermöglicht, Dateien innerhalb des Ordners auszuführen, aber Sie müssen trotzdem „Lesen & Ausführen“ aktivieren, um dies zu tun. Es ist eine sehr verwirrend dokumentierte Berechtigung.

Zusammenfassung

Zusammenfassend kann man sagen, dass Benutzernamen und Gruppen eine alphanumerische Zeichenfolge darstellen, die SID (Security Identifier) genannt wird, und dass Freigabe- und NTFS-Berechtigungen an diese SIDs gebunden sind. Freigabeberechtigungen werden von LSSAS nur beim Zugriff über das Netzwerk geprüft, während NTFS-Berechtigungen nur auf den lokalen Rechnern gültig sind. Ich hoffe, Sie haben nun ein gutes Verständnis dafür, wie die Datei- und Ordnersicherheit in Windows 7 implementiert ist. Wenn Sie Fragen haben, können Sie diese gerne in den Kommentaren stellen.

Taylor Gibb
Taylor Gibb ist ein professioneller Softwareentwickler mit fast einem Jahrzehnt Erfahrung. Er war zwei Jahre lang Microsoft Regional Director in Südafrika und wurde mehrfach als Microsoft MVP (Most Valued Professional) ausgezeichnet. Zurzeit arbeitet er im Bereich R&D bei Derivco International.Vollständigen Lebenslauf lesen “

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.