Zugriffsrechte auf Dateien und Verzeichnisse

Die Bereitstellung von Datei-Services und Plattenressourcen ist eine der Hauptaufgaben von Netzwerkservern.

Auch auf einem lokalen NT-Computer ist der Zugriff auf Dateien und Verzeichnisse über die Vergabe von Rechten geregelt.

Grundkonzepte der Zugriffsrechte:

C2-Sicherheitsstandard.
Benutzerbezogen.
Berechtigungen werden mit dem Dateimanager definiert und geändert.
Unterschiedliche Berechtigungen für Verzeichnisse und Dateien.

Lokale Zugriffsrechte

Das NT-Dateisystem (NTFS) ist vielen anderen Dateisystemen im Bezug auf seine Sicherheitskonzepte überlegen.

Betrachtet man die Eigenschaften einer Datei, so zeigen sich dort neben der Größe und dem Besitzer auch die Zugriffsberechtigungen. Für eine Datei gelten folgende Zugriffsrechte:

Kein Zugriff.
Lesen.
Ändern.
Vollzugriff.

Ähnliches gilt für Verzeichnisse, wobei die die Basisberechtigungen durch sechs Attribute bestimmt werden:

Modifikation der Berechtigungen für ein Dateien

R – Read (Lesen).
W – Write (Schreiben).
D – Delete (Löschen).
X – Execute (Ausführen).
P – Change Permission (Ändere Berechtigung).
O – Take Ownership (Übernehme Besitz).

Modifikation der Berechtigungen für ein Verzeichnis

Diese Attribute können in Gruppen zusammengfaßt werden, um eine vereinfachte Verwendung zu erlauben.

Bei Verzeichnissen werden im Gegensatz zu Dateien zwei Berechtigungen verwendet, z.B. (RX)(RX). Die erste Berechtigung betrifft den Zugriff auf das Verzeichnis selbst. Die zweite Berechtigung wird für neu erzeugte Unter-Verzeichnisse oder Dateien verwendet.

Die P- und die O-Attribute haben sehr spezielle Bedeutung für die Sicherheit eines Systems:

Beschränkter Dateizugriff

Nur ein Benutzer, der das P-Attribut zur Änderung der Berechtigung für ein Verzeichnis oder eine Datei besitzt, kann die Sicherheitseinstellungen aktiv modifizieren.
Nur ein Benutzer, der das O-Attribut zur Änderung des Besitzes hat, kann ein Verzeichnis oder eine Datei in Besitz nehmen.
Der Besitzer eines Verzeichnisses oder einer Datei kann sich immer das P-Attribut zuordnen und damit auch alle anderen Attribute ändern.
Ein Administrator hat immer das Recht, Besitzer eines Verzeichnisses oder einer Datei zu werden. Danach kann sich der Administrator das P-Attribut geben und dadurch auch alle anderen Attribute aktiv verändern.

Benutzer, die für ein Verzeichnis oder eine Datei das O-Attribut besitzen, können dieses Objekt zwar in Besitz nehmen, sie können es aber nicht aktiv zurückgeben. Dazu ist zusätzlich das P Attribut erforderlich.

Auf einem NTFS-Datenträger hat jede Datei und jedes Verzeichnis einen eindeutigen Besitzer. Dieser kann selbständig jederzeit alle vergebenen Berechtigungen für einzelne Benutzer oder Gruppen von Benutzern individuell anpassen.

Freigaben für den Netzwerkzugriff

Vergabe eines Shares

Das Sharing (Exportieren, Teilen) von Verzeichnisstrukturen unter Windows NT ist eine einfache Möglichkeit Festplatten-Ressourcen über das Netzwerk bereitzustellen. Für die vollständige Funktionalität insbesondere auf Servern sollte immer das Dateisystem NTFS gewählt werden, obwohl auch andere Dateisysteme wie FAT hierfür genutzt werden können. Das Einrichten von Freigaben erfolgt in der Regel über den Datei-Manager, den Explorer oder Shell-Kommandos. Die Shares beinhalten dann folgende Eigenschaften:

Die Vergabe von Shares ist auf sehr wenige verschiedene Zugriffsarten beschränkt (kein Zugriff, Lesen, Ändern, Vollzugriff).
Die Vergabe von Shares wirkt sich nur für die Nutzung über das Netzwerk aus und nicht für lokale Benutzer.
Die Freigabe kann explizit einzelnen Benutzern oder Benutzergruppen mit individuellen Zugriffsarten zugeteilt werden.
Administrative Standard-Freigaben auf jedem NT-System sind mit Hilfe des $-Zeichens verborgen: C$ (die Wurzel des Laufwerks C).
Das Freigeben eines Verzeichnisses impliziert automatisch die Freigabe aller Unterverzeichnisse.

Die Vergabe von Shares kann über den Benutzer-Manager reglementiert werden und sich möglicherweise nur auf Administratoren beschränken.

Netzwerkzugriff auf die Freigabe

Netzwerklaufwerk verbinden

Eintrag Beschreibung

Laufwerk Zeigt den ersten verfügbaren Laufwerksbuchstaben für die Verbindung an.

Pfad Gibt den Netzwerkpfad für die Verbindung an. Ein Netzwerkpfad besteht aus dem Computernamen und dem Namen des freigegebenen Verzeichnisses in der Form: \\Computername\Ordnername. Dies muß nicht eingetippt werden (außer bei versteckten Freigaben), sondern kann mit Hilfe des Fensters "Freigegeben Verzeichnisse" eingeklickt werden.

Verbinden als Hier wird der Benutzername des Kontos angegeben mit dem man sich verbinden will. Wenn die Freigabeberechtigung für die Gruppe "Jeder" z.B. auf lesen gesetzt ist, kann dies entfallen.

Verbindung beim Start wiederherstellen Windows NT versucht beim Start automatisch die Verbindung wieder aufzubauen.

Aufgaben zu dieser Thematik

Eintrag	Beschreibung
Laufwerk	Zeigt den ersten verfügbaren Laufwerksbuchstaben für die Verbindung an.
Pfad	Gibt den Netzwerkpfad für die Verbindung an. Ein Netzwerkpfad besteht aus dem Computernamen und dem Namen des freigegebenen Verzeichnisses in der Form: \\Computername\Ordnername. Dies muß nicht eingetippt werden (außer bei versteckten Freigaben), sondern kann mit Hilfe des Fensters "Freigegeben Verzeichnisse" eingeklickt werden.
Verbinden als	Hier wird der Benutzername des Kontos angegeben mit dem man sich verbinden will. Wenn die Freigabeberechtigung für die Gruppe "Jeder" z.B. auf lesen gesetzt ist, kann dies entfallen.
Verbindung beim Start wiederherstellen	Windows NT versucht beim Start automatisch die Verbindung wieder aufzubauen.