Best Practices für das Management von NTFS-Berechtigungen

NTFS-Berechtigungen konfigurieren

• Erstellen Sie eine Berechtigungsrichtlinie für Dateiserver, die Ihren Berechtigungsverwaltungsprozess klar definiert.
• Verwenden Sie überall Active Directory groups. Weisen Sie NTFS-Berechtigungen nicht einzelnen Personen zu, selbst wenn Sie hunderte von Gruppen erstellen müssen. Es ist viel einfacher, 200 Gruppen zu verwalten als 2.000 einmalige Berechtigungen.
• Konfigurieren Sie NTFS-Berechtigungen für die Ressourcen, weisen Sie diesen Berechtigungen Rollen zu und ordnen Sie Personen diesen Rollen zu. Nehmen Sie zum Beispiel an, Sie haben eine Freigabe mit dem Namen HR auf fileserver1. Führen Sie folgende Schritte aus:

1. Erstellen Sie für diese Freigabe die folgenden domänenlokalen Gruppen in Ihrem AD mit den angezeigten Berechtigungen:
   • fileserver1_HR_read (Nur-Lese)
   • fileserver1_HR_modify (Lesen und Ändern)
   • fileserver1_HR_fullcontrol (Vollzugriff)
2. Verwenden Sie diese Gruppen, um die NTFS-Berechtigungen auf die entsprechenden Benutzerrechte festzulegen.
3. Erstellen Sie in Active Directory (AD) eine globale Gruppe mit dem Namen HR für Ihre Personalabteilung.
   Fügen Sie diese globale Gruppe der domänenlokalen Gruppe fileserver1_HR_read hinzu und fügen Sie anschließend Benutzerkonten zur globalen Gruppe HR hinzu. Was Sie damit erreicht haben, ist eine Verknüpfung zwischen einer Ressource und einer Berechtigung sowie zwischen den Berechtigungen und einer Rolle. Wenn Sie Ihr Netzwerk erweitern und weitere Ressourcen und Zugriffsbereiche zu dieser Rolle hinzufügen, können Sie leicht nachvollziehen, auf welche Ressourcen eine Rolle zugreifen kann

Personen (Benutzerkonten) -> Rolle (AD-Globalgruppe) -> Berechtigungen (AD-Domänenlokale Gruppe) -> Ressource (Datei oder Ordner auf einem Dateiserver)

• Vermeiden Sie es, Benutzern die Berechtigung 'Vollzugriff' zu geben. Vollzugriff ermöglicht es Benutzern, NTFS-Berechtigungen zu ändern, was normale Benutzer nicht tun müssen. Änderungsrechte sollten für die meisten Benutzer ausreichend sein.
• Weisen Sie die restriktivsten Berechtigungen zu, die es Benutzern dennoch ermöglichen, ihre Arbeit zu verrichten. Wenn Benutzer beispielsweise nur Informationen in einem Ordner lesen und keine Dateien ändern, löschen oder erstellen müssen, weisen Sie nur die Berechtigung zum Lesen zu.
• Entfernen Sie die Berechtigung 'Jeder' von allen Ressourcen mit Ausnahme des globalen Ordners, der für Dateiaustausche vorgesehen ist.
• Erstellen Sie eine Global Deny-Gruppe, damit Sie, wenn Mitarbeiter das Unternehmen verlassen, schnell allen ihren Dateiserverzugriff entfernen können, indem Sie sie zu Mitgliedern dieser Gruppe machen.
• Vermeiden Sie es so weit wie möglich, die Vererbung von Berechtigungen zu unterbrechen. Es wird einige Ordner geben, bei denen dies notwendig sein kann, aber im Allgemeinen sollten Sie es vermeiden. Wenn etwas die Vererbung unterbrechen würde, dann muss es entweder eine Ebene höher verschoben werden oder Sie müssen neu bewerten, wer welche Berechtigungen für den übergeordneten Ordner hat. Zum Beispiel, wenn Sie jemandem Lese-/Schreibberechtigungen für den gesamten Ordner \Finance erteilen müssen, aber nicht für \Finance\Budget, werden Sie später Probleme bekommen.
• Benutzer sollten sich mit Domänenbenutzerkonten statt lokalen Konten anmelden. Dieser Ansatz zentralisiert die Verwaltung von Freigabeberechtigungen.
• Alle Berechtigungsänderungen sollten überwacht werden, sobald sie auftreten, und die Berechtigungshierarchie sollte mindestens einmal im Jahr überprüft werden.

Dateifreigaben konfigurieren

• Erstellen Sie einen übergeordneten Ordner, der als Stammordner für alle benutzererstellten Daten dient (zum Beispiel, C:\Data). Erstellen Sie darin Unterordner, um Daten entsprechend den beruflichen Rollen und Sicherheitsanforderungen zu trennen und zu organisieren.
• Stellen Sie sicher, dass nur die IT Root-Level-Ordner erstellen kann. Erlauben Sie nicht einmal Managern oder Führungskräften, Ordner auf der obersten Ebene oder den ersten beiden Ebenen zu erstellen. Wenn Sie die Root-Level-Hierarchie nicht sperren, wird Ihre ordentliche Ordnerstruktur schnell zerstört werden. Abteilungen können ihre Ordner organisieren, wie sie möchten, aber erlauben Sie keine Junk-Ordner.
• Organisieren Sie Ihre Ressourcen so, dass Objekte mit denselben Sicherheitsanforderungen im selben Ordner abgelegt werden. Wenn beispielsweise Benutzer die Leseberechtigung für mehrere Anwendungsordner benötigen, speichern Sie diese Ordner in einem gemeinsamen übergeordneten Ordner. Geben Sie dann Leseberechtigungen für den übergeordneten Ordner, anstatt jeden einzelnen Anwendungsordner separat zu teilen.
• Stellen Sie sicher, dass die zugriffsbasierte Aufzählung aktiviert ist. Zugriffsbasierte Aufzählung zeigt nur die Dateien und Ordner an, für die ein Benutzer Zugriffsberechtigungen hat. Wenn ein Benutzer keine Leseberechtigung (oder eine entsprechende Berechtigung) für einen Ordner hat, verbirgt Windows den Ordner vor der Ansicht des Benutzers.
• Stellen Sie die Berechtigungen für Windows-Dateifreigaben ziemlich großzügig ein — geben Sie Jeder, Authentifizierten Benutzern oder Domänenbenutzern die Vollzugriff- oder Änderungsberechtigungen — und verlassen Sie sich auf NTFS für das eigentliche Berechtigungsmanagement.
• Vermeiden Sie verschachtelte Freigaben in Ihren Dateistrukturen, da sie widersprüchliches Verhalten für dieselben Netzwerkressourcen erzeugen können, wenn auf sie über verschiedene Freigaben zugegriffen wird. Das kann besonders dann problematisch sein, wenn die Freigabeberechtigungen unterschiedlich sind. Eine verschachtelte Freigabe ist ein freigegebener Ordner, der sich in einem separaten freigegebenen Ordner befindet. Natürlich gibt es die standardmäßigen versteckten Freigaben (C$, D$, usw.), die alle darunterliegenden Freigaben verschachteln, und sie sind ein Standard. Wenn Ihre Benutzer jedoch zwei separate, nicht versteckte Freigaben verwenden, die verschachtelt sind, kann es zu widersprüchlichen Freigabeberechtigungen kommen.
• Wissen Sie, wann Sie kopieren und wann Sie verschieben sollen. Standardmäßige Kopier- und Verschiebeoperationen liefern Standardergebnisse, die Ihre konfigurierten NTFS-Berechtigungen beibehalten oder unterbrechen können. Kopiervorgänge erstellen die Berechtigungen des Zielcontainers und Verschiebevorgänge behalten die des übergeordneten Containers bei. Um dies im Kopf zu behalten, merken Sie sich einfach CC/MM — Kopien Erstellen, Verschiebungen Beibehalten.

Top 5 NTFS-Berechtigungstools

• Effektives Berechtigungsbericht-Tool von Netwrix
• NTFS Permissions Reporter von Cjwdev
• Zugriffsauflistung (Microsoft-Dienstprogramm)
• Permissions Reporter von Key Metric Software
• Permissions Analyzer von SolarWinds

Exportieren von NTFS-Berechtigungen über Powershell

• Exportieren von Ordnerberechtigungen mit PowerShell
• Exportieren von Benutzerberechtigungen mit PowerShell
  

Was sind NTFS-Berechtigungen

NTFS (New Technology File System) ist das Standarddateisystem für Windows NT und alle nachfolgenden Windows-Betriebssysteme. Mit NTFS verwenden Sie freigegebene Ordner, um Netzwerkbenutzern Zugriff auf Dateiressourcen zu gewähren und so Berechtigungen für Laufwerke und Ordner zu verwalten. NTFS-Berechtigungen stehen für alle mit diesem Dateisystem formatierten Laufwerke zur Verfügung. Jeder Benutzer kann wählen, ob er ganze Laufwerke oder einzelne Ordner mit dem Netzwerk teilen möchte.

Die Hauptvorteile von NTFS-Berechtigungen sind, dass sie sowohl lokale Benutzer als auch Netzwerkbenutzer betreffen und auf den Berechtigungen basieren, die jedem einzelnen Benutzer beim Windows-Login gewährt werden, unabhängig davon, wo der Benutzer sich verbindet. Administratoren können das NTFS-Dienstprogramm verwenden, um den Zugriff auf Dateien und Ordner, Container und Objekte im Netzwerk als Teil der Systemsicherheit zu steuern.