Windows-Praxis: NTFS-Berechtigungen richtig einrichten

Bevor es an die Einrichtung von Berechtigungen gehen kann, muss ein Windows-Server die nötigen Rollen zugewiesen bekommen. Für einen neuen Fileserver ist dazu nur die Rolle Dateiserver über den Servermanager zu installieren. Vorzugsweise sollten Sie allerdings einen separaten Server als Fileserver bereitstellen, der mit der nötigen Rechenleistung und Speicherkapazität aufwarten kann. Wenn Ihr Fileserver zusätzlich noch Anmeldedienste oder größere Datenbanken verwalten muss, werden Sie über kurz oder lang ernsthafte Performance-Probleme bekommen.

Zudem müssen Sie über eine geeignete Datensicherungsstrategie nachdenken, die den internen Sicherheitsvorschriften und nicht zuletzt der Datenmenge gerecht wird. Neben den klassischen LTO-Bandlaufwerken gibt es noch zahlreiche weitere Möglichkeiten. Auch die Spiegelung der Daten auf einen weiteren Server mit dem kostenlosen Befehlszeilenprogramm Robocopy kann sinnvoll sein.

Ist der Fileserver fertig konfiguriert, können Sie mit dem Aufbau einer Ordnerstruktur beginnen. Parallel dazu müssen auch Benutzer und Gruppen angelegt werden, um später den Dateizugriff kontrolliert steuern zu können.

Gruppen im Active Directory anlegen

Die korrekte Rechtevergabe baut auf sauber gepflegte Gruppenmitgliedschaften auf. Im Zweifel sollten Sie also nochmals einen Blick auf die angelegten Benutzer und Gruppen werfen.

Um eine neue Gruppe anzulegen, öffnen Sie zuerst die Konsole Active Directory-Benutzer und -Computer. Klicken Sie mit der rechten Maustaste auf einen Ordner und wählen Sie Neu/Gruppe aus.

Nun müssen Sie der neuen Gruppe einen Namen geben und entscheiden, welchem Gruppentyp (Sicherheit oder Verteilung) und welchem Bereich (Lokal, Global oder Universell) sie angehören soll.

Damit Ressourcen im Netzwerk freigegeben und Berechtigungen gesetzt werden können, benötigt man zwingend eine Sicherheitsgruppe. Verteilergruppen sind nur dann interessant, wenn Sie einen Exchange-Server einsetzen und E-Mail-Verteiler anlegen müssen. Die Unterschiede zwischen den Gruppenbereichen werden nachfolgend aufgeführt.

Lokale Gruppen:

• Sie sind relevant für die Zuweisung von Berechtigungen.

• Benutzer können aus einer beliebigen Domäne hinzugefügt werden.

• Allerdings können Mitglieder der lokalen Gruppe nur auf Ressourcen zugreifen, die sich in der gleichen Domäne befinden wie die lokale Gruppe.

Globale Gruppen

• Sie sind relevant für die Organisation von Benutzern.

• Benutzer können nur aus der Domäne hinzugefügt werden, in der sie beheimatet sind.

• Mitglieder einer globalen Gruppe können auf Ressourcen einer beliebigen Domäne innerhalb einer Gesamtstruktur zugreifen.

Universelle Gruppen

• Sie sind relevant für die Zuweisung von Berechtigungen, die über die eigenen Domänen hinausgehen.

• Benutzer können aus einer beliebigen Domäne hinzugefügt werden.

• Mitglieder einer universellen Gruppe können auf Ressourcen einer beliebigen Domäne zugreifen, auch wenn sich diese nicht in der Gesamtstruktur befindet (zum Beispiel bei Unternehmen mit einer Vertrauensstellung).

Für unser Beispiel haben wir ausschließlich globale Sicherheitsgruppen verwendet.

Aufbau einer Beispielstruktur mit zwei Standorten

Eine perfekte File-Struktur gibt es bekanntermaßen nicht. Es gelten aber einige Faustregeln: Die File-Struktur sollte nach Möglichkeit die interne Unternehmensstruktur widerspiegeln und flexibel erweiterbar sein. Für die Benutzer sind klare Bezeichnungen wichtig.

Komplizierte Abkürzungen sorgen erfahrungsgemäß eher für Verwirrung. Besonders für neue Mitarbeiter wird es so einfacher, die nötigen Dateien zu finden und auch wieder korrekt abzulegen.

Für diesen Workshop haben wir eine kleine Baumstruktur mit zwei Standorten entworfen, in der wir nachfolgend einen Fall aus der Praxis nachbauen werden.

Alles wäre nun wunderbar einfach, wenn jeder Bereich ausschließlich Zugriff auf die eigenen Dateien bräuchte oder alle Mitarbeiter Zugriff auf sämtliche Daten bekämen. Als Administrator muss man aber häufig besondere Anforderungen erfüllen.

In unserem Beispiel sind folgende Anforderungen gegeben:

• Die Geschäftsleitung benötigt Zugriff auf alle Daten beider Standorte.

• Die Vertriebsabteilungen arbeiten zusammen und benötigen somit gegenseitigen Zugriff auf die Vertriebsordner.

• Verwaltung, Einkauf und Lager benötigen nur Zugriff auf die eigenen Dateien. Auf gar keinen Fall dürfen zum Beispiel die Lagermitarbeiter auf sensible Daten der Geschäftsleitung zugreifen.

NTFS-Berechtigungen vergeben

Am einfachsten ist es, die Anforderungsliste von oben nach unten abzuarbeiten. Wir müssen zunächst gewährleisten, dass die Geschäftsleitung Zugriff auf alle Bereiche des Unternehmens erhält.

Hierfür klicken wir mit der rechten Maustaste auf den obersten Ordner Firmendaten und wählen Eigenschaften/Sicherheit/Erweitert aus. Im sich darauf öffnenden Fenster werden die derzeit gültigen Berechtigungen für diesen Ordner angezeigt. Unter dem Karteireiter Besitzer lässt sich der namensgebende Besitzer des Ordners festlegen. Nur der Benutzer beziehungsweise die Benutzergruppe, der/die als Besitzer eingetragen ist, kann NTFS-Berechtigungen vergeben. Standardmäßig ist das immer der Administrator, aber es gibt auch Ausnahmen.

Beim Home-Laufwerk eines Users oder dessen Terminalserverprofil ist der Benutzer als Besitzer eingetragen. Diese Einstellung sollte man nur im Notfall ändern. Zum einen kann eine unbedachte Änderung dazu führen, dass der Benutzer keinen Zugriff mehr aus sein Profil hat und die Anmeldung an der Domäne somit fehlschlägt, zum anderen hat der Administrator aus Datenschutzgründen schlicht nichts im Profil des Mitarbeiters zu suchen.

Zurück zur Rechtevergabe. Da die Geschäftsführung ja globalen Zugriff erhalten soll, tragen wir die entsprechende Gruppe in die Zugriffsliste ein und vererben die Änderungen bis zur untersten Ebene durch. Dazu klicken wir im Karteireiter Berechtigungen auf Bearbeiten und anschließend auf Hinzufügen. Nun tragen wir im Textfeld die Gruppe Geschäftsführung ein (wir könnten jetzt auch mehrere Gruppen gleichzeitig eintragen, indem wir die einzelnen Einträge durch Semikola trennen) und vergeben dann die Rechte. Hier gibt es auch keine feste Regel, und alle Auswahlmöglichkeiten zu erläutern würde den Rahmen an dieser Stelle sprengen. Zu Testzwecken wählen wir hier Vollzugriff.

Berechtigungen vererben

Bei der Vererbung sollte man sehr sorgfältig vorgehen. Sie sollten sich genau überlegen, welchen der beiden Haken Sie an dieser Stelle setzen.

Bei Vererbbare Berechtigungen des übergeordneten Objektes einschließen geschieht eben genau das. Neben den manuell vergebenen Rechten werden auch Rechte der nächsthöheren Ebene vererbt. Für unsere Zwecke reicht das aus. Wird der Haken entfernt, besteht die Möglichkeit, die Berechtigungen zu kopieren oder zu löschen. Damit wird auch für diesen Ordner die Vererbung gebrochen.

Durch den Punkt Bestehende vererbbare Berechtigungen aller untergeordneten Objekte durch vererbbare Berechtigungen dieses Objektes ersetzen würden alle Einträge, die im Fenster Berechtigungseinträge zu sehen sind, auf alle unteren Ordner und Dateien innerhalb des Ordners "Firmendaten" angewendet.

Je nach Menge der Ordner und Daten kann eine solche Vererbung mehrere Minuten in Anspruch nehmen. Der Vorgang kann zwar abgebrochen werden, würde dann aber auch mit Sicherheit zur Dateninkonsistenz führen. Das Ganze nun mit OK bestätigen. Damit wäre die erste Vorgabe erfüllt.

Um den gegenseitigen Dateizugriff in der Vertriebsabteilung zu ermöglichen, können wir beide Ordner in einem DFS-Namespace zusammenfassen und später als Netzlaufwerk freigeben. Dazu später mehr. Trotzdem müssen wir die Berechtigungen vergeben. Wir wiederholen die oben genannten Schritte bei den beiden Vertriebsordnern in den Standorten Köln und München. Dort tragen wir nun die Gruppen Vertrieb Köln und Vertrieb München ein, gewähren Vollzugriff und bestätigen wieder mit OK.

Zu guter Letzt müssen noch die Berechtigungen für die Ordner Verwaltung, Einkauf und Lager gesetzt werden. Hier greift das erwähnte Schema: Ordner auswählen, Gruppen eintragen, Berechtigungen vergeben und gegebenenfalls vererben.

DFS-Namespace einrichten

Nun sind alle Berechtigungen vergeben. Allerdings müssen wir noch einen Weg schaffen, um den gemeinsamen Zugriff auf Vertriebsdaten zu ermöglichen. Durch die Konfiguration eines DFS-Namespace lassen sich mehrere Verzeichnisse (auch von unterschiedlichen Servern) unter einem Namen zusammenfassen und als einzelnes Netzlaufwerk für die Benutzer freigeben.

Um das DFS (Distributed File System) einsetzen zu können, müssen zunächst die Serverrollen Dateiserver sowie DFS-Verwaltung installiert werden. Bereits bei der Installation kann ein Namespace erstellt werden, doch auch nachträglich lässt sich dieser über die Konsole DFS-Verwaltung einrichten.

Die Erstellung eines DFS-Namespace ist relativ unkompliziert. Als ersten Schritt legen Sie den Host für den Namespace fest. Daraufhin wird ein Name festgelegt und entschieden, ob der DFS-Namespace in den Active-Directory-Domänendiensten gespeichert oder auf einem eigenständigen Namespace-Server abgelegt wird. Nach einer kurzen Zusammenfassung wird der Namespace erstellt.

Nun lassen sich die Ordner hinzufügen. Wichtig: Ordner, die Teil eines Namespace werden sollen, müssen bereits freigegeben sein, sonst werden sie nicht erkannt. Ob diese Ordner auf einem oder auf unterschiedlichen Servern liegen, ist dabei irrelevant.

Daraufhin lassen sich beide Ordner über den gemeinsamen Namen wie beispielsweise "\\corp.contoso.com\Vertrieb" ansprechen und als Netzlaufwerk freigeben.

Daten und Berechtigungen mit Robocopy umziehen

Wenn der Fileserver wider Erwarten einmal ausfällt, ist es gut, wenn der Administrator vorgesorgt hat. Neben der klassischen Datensicherung kann es hilfreich sein, eine Ausweichmaschine zu haben, auf der sämtliche Firmendaten vorhanden sind. Für einen möglichst identischen Datenbestand bietet sich das kostenlose Tool Robocopy an. Dieses Befehlszeilenprogramm ist in Windows Server 2008, Windows Vista und Windows 7 bereits implementiert. Wenn Sie Windows Server 2003 oder Windows XP einsetzen, können Sie Robocopy ganz einfach über das kostenlose Admin-Pack von Microsoft nachinstallieren.

Mit Robocopy lassen sich komplette File-Strukturen, einschließlich aller NTFS-Rechte, auf einen weiteren Server kopieren beziehungsweise spiegeln. Um eine regelmäßige Sicherung zu gewährleisten, sollten Sie eine kleine Batch-Datei erstellen und diese mit einem neuen, täglich ablaufenden Task verbinden, sodass die Sicherung zum Beispiel regelmäßig nach Geschäftsschluss durchgeführt wird.

Die nötige Batch-Datei ist in wenigen Minuten erstellt:

@echo off

robocopy \\Quellserver\Quellverzeichnis D:\\Zielverzeichnis /MIR /B /R:1 /W:1 /COPYALL

echo.

Echo Sicherung abgeschlossen.

echo.

Das Skript zieht zunächst die Verzeichnisstruktur (nicht die Daten) aus dem Quellordner und spiegelt (/MIR) diese komplett in das Zielverzeichnis. Mithilfe von /B werden alle Daten im Sicherungsmodus übertragen. Der Parameter /R:1 gibt an, wie oft Robocopy versuchen soll, einen fehlgeschlagenen Kopierversuch (zum Beispiel bei einer noch geöffneten Datei) zu wiederholen. Ohne diesen Parameter würde Robocopy vermutlich in einer Endlosschleife hängen bleiben. Durch /W:1 geben Sie die Zeitspanne (in Sekunden) zwischen den Kopierversuchen an. Abschließend geben Sie durch /COPYALL vor, dass sämtliche Dateien sowie deren Rechte und Attribute kopiert werden sollen. Ausführliche Informationen zu Robocopy liefert Ihnen der Beitrag Robocopy - Daten schnell und einfach sichern. (mje)