Jump to content
letsencrypt

NTFS-Berechtigungshierarchie beginnend mit Datenträger

Recommended Posts

Hallo zusammen,

 

ich erstelle zur Zeit ein neues Berechtigungs-/Sicherheitskonzept für das interne Windows-Netzwerk. Folgendes möchte ich auf einem Domänen-Server (stellt u.A. Netzwerkfreigaben bereit) realisieren:

 

Auf dem Datenträger (somit 1. Hierarchieebene, nicht die Systemfestplatte) sollen nur noch die absolut notwendigsten NTFS-Berechtigungen gelten. Vorhanden sind aktuell noch

- System (Vollzugriff)

- Domänen-Administratoren (Vollzugriff)

- Authentifizierte Benutzer (Vollzugriff)

 

Authentifizierte Benutzer würde ich gern entfernen - tue ich dies, so habe ich (als Domänen-Admin) keinen Zugriff mehr auf den Datenträger. Wieso? Muss der Eintrag bleiben?

 

Was empfehlt ihr, auf der obersten Hierarchieebene für NTFS-Berechtigungen zu setzen? Alle Unterverzeichnisse sollen erben und nur bei Bedarf zusätzliche NTFS-Berechtigungen erhalten.

 

Edit: Ich vergaß: Kennt einer die Standard NTFS-Berechtigungen, die ein frisch eingebundener Datenträger (auf einem Serversystem) erhält?

 

Danke und viele Grüße

letsencrypt

Edited by letsencrypt

Share this post


Link to post
Share on other sites

Moin,

 

Domänen-Administratoren willst du da nicht haben. Die sollen die Domäne administrieren und keine Fileserver.

 

Lass die lokale (!) Gruppe Administratoren in der Liste. Effektiv entfernen kannst du sie ohnehin nicht, denn sie wird sich den Zugriff immer verschaffen können. Also lass sie gleich drin, das macht es klarer. Das System sollte auch zugreifen können.

 

Alles Weitere hängt dann schon von den Anforderungen des Unternehmens ab. Wenn etwa "Authentifizierte Benutzer" (oder die lokale Gruppe "Benutzer") keine Leserechte hat, können normale Anwender nicht durch die Verzeichnisse navigieren. Das kann aber auch gewünscht sein - also Anforderungen definieren, dann auf Testsystemen prüfen, wie man diese sinnvoll umsetzt. Empfehlung dazu: Haltet das simpel und plant nichts, was über "Lesen", "Ändern" und "Vollzugriff" hinausgeht, auch wenn NTFS das theoretisch ermöglichen würde.

 

Das von dir beobachtete Verhalten liegt an UAC.

[Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites
vor 22 Stunden schrieb NilsK:

Moin,

 

Domänen-Administratoren willst du da nicht haben. Die sollen die Domäne administrieren und keine Fileserver.

 

Lass die lokale (!) Gruppe Administratoren in der Liste. Effektiv entfernen kannst du sie ohnehin nicht, denn sie wird sich den Zugriff immer verschaffen können. Also lass sie gleich drin, das macht es klarer. Das System sollte auch zugreifen können.

 

Alles Weitere hängt dann schon von den Anforderungen des Unternehmens ab. Wenn etwa "Authentifizierte Benutzer" (oder die lokale Gruppe "Benutzer") keine Leserechte hat, können normale Anwender nicht durch die Verzeichnisse navigieren. Das kann aber auch gewünscht sein - also Anforderungen definieren, dann auf Testsystemen prüfen, wie man diese sinnvoll umsetzt. Empfehlung dazu: Haltet das simpel und plant nichts, was über "Lesen", "Ändern" und "Vollzugriff" hinausgeht, auch wenn NTFS das theoretisch ermöglichen würde.

 

Das von dir beobachtete Verhalten liegt an UAC.

[Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/

 

Gruß, Nils

 

Moin und danke, Die Domänen-Administratoren habe ich entfernt. Stattdessen habe ich eine Gruppe "Dateiserver Administration" erstellt und dieser Vollzugriff erteilt. Das mit der UAC ist interessant und mithilfe der Gruppe "Dateisystem Administration" wird entsprechend das Explorer Problem umgangen. Danke dafür.

 

Aktuell sieht die oberste Ebene (der Datenträger) wie folgt aus bezügl. NTFS:

SYSTEM - Vollzugriff

Administratoren (Domäne\Administratoren) - Vollzugriff

Dateiserver Administration - Vollzugriff

 

Das einfache User nicht durch die Verzeichnisstruktur navigieren können, ist gewollt. Lediglich auf die tatsächlichen Freigaben erhalten diese NTFS-Rechte.

vor 22 Stunden schrieb MurdocX:

Bist du Dir im Klaren was "Vollzugriff" bedeutet? Dürfen Benutzer Berechtigungen ändern?

Vollzugriff ermöglicht die Besitzübernahme von Ordnern/Dateien. Das ist mir bekannt und wird für einfache Benutzergruppen anders gehandhabt - hier werde ich dedizierte Berechtigungen vergeben. Danke. 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...