Datei- und Ordnerberechtigungen
Vorwort
Wie Sie bereits wissen, ermöglichen Datei- und Ordnerberechtigungen Benutzern,
den Zugriff auf Inhalte zu beschränken, die auf
NTFS-Volumes gespeichern sind. Sie können Zugriff zum Öffnen, Bearbeiten
und Löschen von Dateien und Ordnern gewähren.
Dateien und Ordner basieren zudem auf dem Besitzkonzept. Der Benutzer, der eine
Datei oder einen Ordner erstellt, ist Besitzer
dieses Objekts und hat standardmäßig die Möglichkeit, das Ausmaß
des Zugriffs für andere Benutzer festzulegen.
Nachfolgend aufgeführt sind die Standardberechtigungen, die sich auf Dateien und Ordner anwenden lassen:
Vollzugriff,
Benutzer können beliebige Handlungen an der Datei oder dem Ordner vornehmen.
Sie können Dateien und Ordner
erstellen und
löschen sowie die Berechtigungen ändern.
Ändern,
Benutzer können Dateien und Ordner lesen, bearbeiten und löschen.
Jedoch keine Berechtigungen ändern.
Lesen
und Ausführen, Benutzer können Dateien betrachen und Anwendungen
ausführen.
Ordnerinhalt
auflisten, Benutzer können einen Ordner durchsuchen
Lesen,
Benutzer können eine Datei oder den Inhalt eines Ordners betrachten. Wenn
eine ausführbare Datei die
Berechtigung
Lesen, nicht aber die Berechtigung Lesen
und Auführen hat, dann kann der Benutzer diese Datei
nicht starten.
Schreiben,
Benutzer können Dateien in einem Verzeichnis erstellen, diese aber nicht
in jedem Fall lesen.
Diese Berechtigung
ist nützlich für einen Ordner, in dem mehrere Benutzer Dateien ablegen
können, ohne dass sie
auf die Dateien
der jeweils anderen Benutzer zugreifen dürfen oder überhaupt erkennen
können, ob und welche
anderen Dateien
existieren.
Spezielle
Berechtigungen, Es gibt mehr als ein Dutzend spezielle Berechtigungen,
die einem Benutzer oder einer Gruppe
zugewiesen werden
können. Diese Berechtigung ist selektiert, wenn die gewählten speziellen
Berechtigungen
nicht mit einer
Standardberechtigung übereinstimmen.
Spezielle Berechtigungen
Wenn eine dieser Standardberechtigungen gewählt ist, selektiert Windows
Server 2003 automatisch eine oder mehrere der
folgenden speziellen Berechtigungen:
Ordner
durchsuchen/Datei ausführen, Die nur für Ordner anwendbare
Berechtigung "Ordner durchsuchen" ermöglicht
das Wechseln
zwischen Ordnern, um andere Dateien und Ordner aufzurufen, und zwar auch dann,
wenn der Benutzer
keine Berechtigungen
für die durchsuchten Ordner hat. "Ordner durchsuchen" tritt nur
dann in Kraft, wenn der Gruppe
oder dem Benutzer
das Benutzerrecht Auslassen der durchsuchenden Überprüfung
nicht gewährt ist (Mitglieder der
Gruppe "Jeder"
haben dieses Benutzerrecht standardmäßig). "Datei ausführen",
welches nur für Dateien gilt, ermöglicht
das Auführen
von Programmdateien. Wen Sie für einen Ordner die Berechtigung Ordner
durchsuchen setzen, bedeutet
dies nicht unbedingt,
dass die Berechtigung Datei ausführen
für alle Dateien in diesem Ordner gewährt wird.
Tipp: Einige spezielle Berechtigungen wie Ordner
durchsuchen/Datei ausführen und Ordner
auflisten/Daten lesen
haben je nach Typ des Objekts, auf das die Berechtigung angewendet wird, unterschiedliche
Auswirkungen
Ordner
auflisten/Daten lesen. Ordner auflisten gilt nur für Ordner und
erlaubt die Anzeige der Namen von Dateien
und Unterorndern
innerhalb des betreffenden Ordners. Daten lesen
gilt nur für Dateien und erlaubt die Anzeige
des Dateiinhalts.
Attribute
lesen, Erlaubt die Anzeige der Attribute einer Datei oder eines Ordners
(zb. Schreibgeschützt oder Versteckt).
Erweiterte
Attribute lesen, Erlaubt die Anzeige der erweiterten Attribute einer
Datei oder eines Ordners. Die erweiterten
Attribute werden
von Programmen definiert und können von Programm zu Programm variieren.
Dateien
erstellen/Daten schreiben. Dateien erstellen, gilt nur für Ordner
und erlaubt das Anlegen von Dateien im
betreffenden
Ordner. Daten schreiben gilt nur für Dateien und erlaubt oder verbietet
die Durchführung von Änderungen
am Dateiende,
nicht aber das Ändern, Löschen oder Überschreiben vorhandener
Daten.
Attribute
schreiben, Erlaubt die Änderung der Attribute einer Datei oder eines
Ordners (zB. Schreibgeschützt
oder Versteckt).
Erweiterte
Attribute schreiben, Erlaubt die Änderung der erweiterten Attribute
einer Datei oder eines Ordners.
Unterordner
und Dateien löschen, Erlaubt das Löschen von Unterordnern und
Dateien. Dies gilt auch, wenn die
Berechtigung
"Löschen" für den Unterordner bzw. die Datei nicht gewährt
wurde.
Löschen,
Erlaubt das Löschen einer Datei oder eines Ordners. Auch wenn Sie nicht
über die Berechtigung
Löschen
für eine Datei oder einen Ordner verfügen, könnnen Sie das Objekt
trotzdem löschen, sofern Sie für den
übergeordneten
Ordner über die Berechtigung Unterordner und
Dateien löschen verfügen.
Berechtigungen
lesen, Gestattet das Lesen der Berechtigungen (zB. Vollzugriff, Lesen,
oder Schreiben) für
eine Datei oder
einen Ordner.
Berechtigungen
ändern, Gestattet das Ändern der Berechtgungen (zB. Vollzugriff,
Lesen oder Schreiben) für eine
Datei oder einen
Ordner.
Besitzrechte
übernehmen, Ermöglicht die Inbesitznahme der Datei oder des
Ordners. Der Besitzer einer Datei oder
eines Ordners
kann die Berechtigungen für das Objekt ungeachtet vorhandener Berechtigungen,
die für die Datei
oder den Ordner
schützen sollen, jederzeit ändern.
Wenn Sie Datei- oder Ordnerbrechtigungen editieren und die Standardberechtigung
Vollzugriff festlegen, werden dem
ACE für den Benutzer bzw. die Gruppe alle möglichen speziellen Berechtigungen
hinzugefügt. Wenn Sie die
Standardberechtigung Ändern wählen,
werden alle speziellen Berechtigungen mit Ausnahme von Berechtigungen
ändern und Besitz übernehmen
zugewiesen. Die Auswahl der Standardberechtigung Lesen
und Auführen fügt ACEs für
die speziellen Berechtigungen Ordner durchsucheh/Datei
ausführen, Ordner auflisten/Daten lesen,
Attribute
lesen, Erweiterte Attribute lesen und Berechtigungen
lesen hinzu. Die Standardberechtigung Lesen
ist mit Lesen und
Auführen weitgehend identisch, lediglich die speziele Berechtigung
Ordner durchsuchen/Datei ausführen wird
nicht
zugewiesen. Schließlich gewährt die Standardberechtigung Schreiben
die speziellen Berechtigungen Dateien
erstellen/Daten schreiben, Ordner erstellen/Daten anhängen, Attribute schreiben
und Erweiterte Attribute schreiben.
Sicherheitswarnung:
In der Praxis werden Sie selten mit speziellen Berechtigungen arbeiten müssen.
Tatsächlich sollten Sie eine soclhe
Vorgehensweise vermeiden, wann immer es möglich ist, denn die Verwaltung
der speziellen Berechtigungen ist
komplexer als die der Standardberechtigungen. Standardberechtigungen sind in
ausreichendem Maße abstimmbar, um
die allermeisten sicherheitstechnischen Anforderungen zu erfüllen.
Gehen Sie wie folgt vor, um spezielle Berechtigungen für Dateien und Ordner
einzustellen, zu betrachten, zu ändern
oder zu entfernen:
1) Öffnen Sie den Windows
Explorer und suchen Sie die Datei oder den Ordner, für den bzw. die Sie
spezielle Berechtigungen
einstellen wollen.
2) Klicken Sie mit der rechten
Maustaste auf die Datei oder den Ordner, klicken Sie auf Eigenschaften
und wählen Sie die
Registerkarte
Sicherheit.
3) Klicken Sie auf Erweitert
und führen Sie dann einen der folgenden Schritte aus:
4) Klicken Sie ggf. unter Übernehmen
für im Dialogfeld Berechtigungseintrag an, wo die Berechtigungen angewendet
werden sollen.
Übernehmen
für Ordner verfügbar.
5) Klicken SIe unter Berechtigungen
für jede Berechtigung Zulassen oder Verewrigen an.
6) Wenn Sie verhindern wollen,
dass Unterordner und Dateien innerhalb der Struktur diese Berechtigungen erben,
aktivieren Sie
das Kontrollkästchen
Berechtigungen nur für Objekte
und/oder Container in diesem container übernehmen.
Auf die weiteren möglichen speziellen Berechtigungen für andere Objekttypen
und deren Bearbeitung wird nicht weiter eingegangen.
Die Bedienoberfläche zur Bearbeitung von speziellen Berechtigungen für
andere Objekte ähnelt jedoch derjenigen für Dateien und Ordner.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006