Datei- und Ordnerberechtigungen

Vorwort
Wie Sie bereits wissen, ermöglichen Datei- und Ordnerberechtigungen Benutzern, den Zugriff auf Inhalte zu beschränken, die auf
NTFS-Volumes gespeichern sind. Sie können Zugriff zum Öffnen, Bearbeiten und Löschen von Dateien und Ordnern gewähren.
Dateien und Ordner basieren zudem auf dem Besitzkonzept. Der Benutzer, der eine Datei oder einen Ordner erstellt, ist Besitzer
dieses Objekts und hat standardmäßig die Möglichkeit, das Ausmaß des Zugriffs für andere Benutzer festzulegen.

Nachfolgend aufgeführt sind die Standardberechtigungen, die sich auf Dateien und Ordner anwenden lassen:

Vollzugriff, Benutzer können beliebige Handlungen an der Datei oder dem Ordner vornehmen. Sie können Dateien und Ordner
erstellen und löschen sowie die Berechtigungen ändern.

Ändern, Benutzer können Dateien und Ordner lesen, bearbeiten und löschen. Jedoch keine Berechtigungen ändern.

Lesen und Ausführen, Benutzer können Dateien betrachen und Anwendungen ausführen.

Ordnerinhalt auflisten, Benutzer können einen Ordner durchsuchen

Lesen, Benutzer können eine Datei oder den Inhalt eines Ordners betrachten. Wenn eine ausführbare Datei die
Berechtigung Lesen, nicht aber die Berechtigung Lesen und Auführen hat, dann kann der Benutzer diese Datei
nicht starten.

Schreiben, Benutzer können Dateien in einem Verzeichnis erstellen, diese aber nicht in jedem Fall lesen.
Diese Berechtigung ist nützlich für einen Ordner, in dem mehrere Benutzer Dateien ablegen können, ohne dass sie
auf die Dateien der jeweils anderen Benutzer zugreifen dürfen oder überhaupt erkennen können, ob und welche
anderen Dateien existieren.

Spezielle Berechtigungen, Es gibt mehr als ein Dutzend spezielle Berechtigungen, die einem Benutzer oder einer Gruppe
zugewiesen werden können. Diese Berechtigung ist selektiert, wenn die gewählten speziellen Berechtigungen
nicht mit einer Standardberechtigung übereinstimmen.

 

Spezielle Berechtigungen
Wenn eine dieser Standardberechtigungen gewählt ist, selektiert Windows Server 2003 automatisch eine oder mehrere der
folgenden speziellen Berechtigungen:

Ordner durchsuchen/Datei ausführen, Die nur für Ordner anwendbare Berechtigung "Ordner durchsuchen" ermöglicht
das Wechseln zwischen Ordnern, um andere Dateien und Ordner aufzurufen, und zwar auch dann, wenn der Benutzer
keine Berechtigungen für die durchsuchten Ordner hat. "Ordner durchsuchen" tritt nur dann in Kraft, wenn der Gruppe
oder dem Benutzer das Benutzerrecht Auslassen der durchsuchenden Überprüfung nicht gewährt ist (Mitglieder der
Gruppe "Jeder" haben dieses Benutzerrecht standardmäßig). "Datei ausführen", welches nur für Dateien gilt, ermöglicht
das Auführen von Programmdateien. Wen Sie für einen Ordner die Berechtigung Ordner durchsuchen setzen, bedeutet
dies nicht unbedingt, dass die Berechtigung Datei ausführen für alle Dateien in diesem Ordner gewährt wird.

Tipp: Einige spezielle Berechtigungen wie Ordner durchsuchen/Datei ausführen und Ordner auflisten/Daten lesen
haben je nach Typ des Objekts, auf das die Berechtigung angewendet wird, unterschiedliche Auswirkungen

Ordner auflisten/Daten lesen. Ordner auflisten gilt nur für Ordner und erlaubt die Anzeige der Namen von Dateien
und Unterorndern innerhalb des betreffenden Ordners. Daten lesen gilt nur für Dateien und erlaubt die Anzeige
des Dateiinhalts.

Attribute lesen, Erlaubt die Anzeige der Attribute einer Datei oder eines Ordners (zb. Schreibgeschützt oder Versteckt).

Erweiterte Attribute lesen, Erlaubt die Anzeige der erweiterten Attribute einer Datei oder eines Ordners. Die erweiterten
Attribute werden von Programmen definiert und können von Programm zu Programm variieren.

Dateien erstellen/Daten schreiben. Dateien erstellen, gilt nur für Ordner und erlaubt das Anlegen von Dateien im
betreffenden Ordner. Daten schreiben gilt nur für Dateien und erlaubt oder verbietet die Durchführung von Änderungen
am Dateiende, nicht aber das Ändern, Löschen oder Überschreiben vorhandener Daten.

Attribute schreiben, Erlaubt die Änderung der Attribute einer Datei oder eines Ordners (zB. Schreibgeschützt
oder Versteckt).

Erweiterte Attribute schreiben, Erlaubt die Änderung der erweiterten Attribute einer Datei oder eines Ordners.

Unterordner und Dateien löschen, Erlaubt das Löschen von Unterordnern und Dateien. Dies gilt auch, wenn die
Berechtigung "Löschen" für den Unterordner bzw. die Datei nicht gewährt wurde.

Löschen, Erlaubt das Löschen einer Datei oder eines Ordners. Auch wenn Sie nicht über die Berechtigung
Löschen für eine Datei oder einen Ordner verfügen, könnnen Sie das Objekt trotzdem löschen, sofern Sie für den
übergeordneten Ordner über die Berechtigung Unterordner und Dateien löschen verfügen.

Berechtigungen lesen, Gestattet das Lesen der Berechtigungen (zB. Vollzugriff, Lesen, oder Schreiben) für
eine Datei oder einen Ordner.

Berechtigungen ändern, Gestattet das Ändern der Berechtgungen (zB. Vollzugriff, Lesen oder Schreiben) für eine
Datei oder einen Ordner.

Besitzrechte übernehmen, Ermöglicht die Inbesitznahme der Datei oder des Ordners. Der Besitzer einer Datei oder
eines Ordners kann die Berechtigungen für das Objekt ungeachtet vorhandener Berechtigungen, die für die Datei
oder den Ordner schützen sollen, jederzeit ändern.

Wenn Sie Datei- oder Ordnerbrechtigungen editieren und die Standardberechtigung Vollzugriff festlegen, werden dem
ACE für den Benutzer bzw. die Gruppe alle möglichen speziellen Berechtigungen hinzugefügt. Wenn Sie die
Standardberechtigung Ändern wählen, werden alle speziellen Berechtigungen mit Ausnahme von Berechtigungen
ändern
und Besitz übernehmen zugewiesen. Die Auswahl der Standardberechtigung Lesen und Auführen fügt ACEs für
die speziellen Berechtigungen Ordner durchsucheh/Datei ausführen, Ordner auflisten/Daten lesen, Attribute
lesen, Erweiterte Attribute lesen
und Berechtigungen lesen hinzu. Die Standardberechtigung Lesen ist mit Lesen und
Auführen
weitgehend identisch, lediglich die speziele Berechtigung Ordner durchsuchen/Datei ausführen wird nicht
zugewiesen. Schließlich gewährt die Standardberechtigung Schreiben die speziellen Berechtigungen Dateien
erstellen/Daten schreiben, Ordner erstellen/Daten anhängen, Attribute schreiben
und Erweiterte Attribute schreiben.

Sicherheitswarnung:
In der Praxis werden Sie selten mit speziellen Berechtigungen arbeiten müssen. Tatsächlich sollten Sie eine soclhe
Vorgehensweise vermeiden, wann immer es möglich ist, denn die Verwaltung der speziellen Berechtigungen ist
komplexer als die der Standardberechtigungen. Standardberechtigungen sind in ausreichendem Maße abstimmbar, um
die allermeisten sicherheitstechnischen Anforderungen zu erfüllen.

Gehen Sie wie folgt vor, um spezielle Berechtigungen für Dateien und Ordner einzustellen, zu betrachten, zu ändern
oder zu entfernen:

1) Öffnen Sie den Windows Explorer und suchen Sie die Datei oder den Ordner, für den bzw. die Sie spezielle Berechtigungen
einstellen wollen.

2) Klicken Sie mit der rechten Maustaste auf die Datei oder den Ordner, klicken Sie auf Eigenschaften und wählen Sie die
Registerkarte Sicherheit.

3) Klicken Sie auf Erweitert und führen Sie dann einen der folgenden Schritte aus:

4) Klicken Sie ggf. unter Übernehmen für im Dialogfeld Berechtigungseintrag an, wo die Berechtigungen angewendet werden sollen.
Übernehmen für Ordner verfügbar.

5) Klicken SIe unter Berechtigungen für jede Berechtigung Zulassen oder Verewrigen an.

6) Wenn Sie verhindern wollen, dass Unterordner und Dateien innerhalb der Struktur diese Berechtigungen erben, aktivieren Sie
das Kontrollkästchen Berechtigungen nur für Objekte und/oder Container in diesem container übernehmen.

Auf die weiteren möglichen speziellen Berechtigungen für andere Objekttypen und deren Bearbeitung wird nicht weiter eingegangen.
Die Bedienoberfläche zur Bearbeitung von speziellen Berechtigungen für andere Objekte ähnelt jedoch derjenigen für Dateien und Ordner.




Erstellt von: Haßlinger Stefan
Im: Jahr 2006