Wenn du in einem Windows-Netzwerk einen Ordner freigibst, gibt es zwei unabhängige Berechtigungsebenen die zusammenwirken:
NTFS-Berechtigungen: Gelten für den direkten lokalen Zugriff auf dem Dateisystem – und auch bei Netzwerkzugriff
Freigabeberechtigungen (Share Permissions): Gelten nur beim Zugriff über das Netzwerk (\\Server\Freigabe)
Wenn ein Benutzer über das Netzwerk zugreift, gelten beide Berechtigungen gleichzeitig. Das effektive Recht ist immer das restriktivere der beiden. Das heißt: Hat jemand NTFS-Vollzugriff aber nur Lese-Freigabeberechtigung, kann er trotzdem nur lesen.
Zugriff über Netzwerk:
NTFS: Lesen + Schreiben
Share: Nur Lesen
→ Effektiv: Nur Lesen (das Restriktivere gewinnt)
NTFS: Nur Lesen
Share: Vollzugriff
→ Effektiv: Nur Lesen (das Restriktivere gewinnt)NTFS-Berechtigungen sind feingranular und gelten für Dateien und Ordner auf NTFS-formatierten Datenträgern. Es gibt Standardberechtigungen und erweiterte Berechtigungen.
Berechtigung | Ordner | |
|---|---|---|
Lesen | Ordnerinhalt anzeigen, Attribute lesen | Datei lesen, Attribute lesen |
Schreiben | Dateien/Unterordner erstellen, Attribute ändern | Datei schreiben, Attribute ändern |
Lesen & Ausführen | Wie Lesen + Ordner durchqueren | Wie Lesen + Programm ausführen |
Ordnerinhalt auflisten | Ordnerinhalt anzeigen (nur Ordner) | – |
Ändern | Lesen + Schreiben + Löschen | Lesen + Schreiben + Löschen |
Vollzugriff | Alle Rechte inkl. Berechtigungen ändern | Alle Rechte inkl. Berechtigungen ändern |
NTFS-Berechtigungen werden standardmäßig vererbt: Ein Unterordner übernimmt automatisch die Berechtigungen des übergeordneten Ordners. Die Vererbung kann deaktiviert werden – dann müssen Berechtigungen manuell gesetzt werden.
NTFS-Berechtigungen können als Zulassen (Allow) oder Verweigern (Deny) gesetzt werden. Deny gewinnt immer – auch wenn der Benutzer durch eine Gruppe Allow-Rechte hätte. Deny sollte sparsam eingesetzt werden – es macht Berechtigungsstrukturen schnell unübersichtlich.
Ein Benutzer der Mitglied mehrerer Gruppen ist, erhält die kumulierten (zusammengefassten) Rechte aller Gruppen:
Gruppe A: Lesen
Gruppe B: Schreiben
Benutzer ist in A und B → Effektiv: Lesen + Schreiben = Ändern
Ausnahme: Deny einer Gruppe überschreibt Allow aller anderen GruppenJede Datei und jeder Ordner hat einen Besitzer – standardmäßig das Konto das die Datei erstellt hat. Der Besitzer hat immer das Recht seine eigenen Berechtigungen zu ändern – selbst wenn er sich versehentlich ausgesperrt hat.
Freigabeberechtigungen sind einfacher als NTFS-Berechtigungen – es gibt nur drei Stufen:
Berechtigung | Erlaubt |
|---|---|
Lesen | Dateien anzeigen und öffnen, Programme ausführen |
Ändern | Lesen + Dateien erstellen, ändern, löschen |
Vollzugriff | Ändern + Berechtigungen ändern |
Die empfohlene Praxis in modernen Windows-Umgebungen:
Freigabeberechtigung: Jeder → Vollzugriff (oder "Authentifizierte Benutzer → Vollzugriff")
Die eigentliche Zugriffskontrolle wird ausschließlich über NTFS-Berechtigungen geregelt
So muss man sich nur um eine Berechtigungsebene kümmern und vermeidet Konfusion durch zwei parallele Systeme.
Windows erstellt automatisch versteckte administrative Freigaben – erkennbar am $-Zeichen am Ende:
C$, D$: Zugriff auf das Laufwerksstamm-Verzeichnis (nur Admins)
IPC$: Inter-Process Communication – für Named Pipes und Remote-Verwaltung
SYSVOL: Enthält Gruppenrichtliniendateien – für alle authentifizierten Benutzer lesbar
NETLOGON: Enthält Anmeldeskripte
# NTFS-Berechtigungen anzeigen
Get-Acl "C:\Freigaben\IT" | Format-List
# Freigabe erstellen
New-SmbShare -Name "IT-Daten" -Path "C:\Freigaben\IT" `
-FullAccess "Jeder" -Description "IT-Abteilung"
# Freigaben anzeigen
Get-SmbShareZwei Berechtigungsebenen: NTFS (lokal und Netzwerk) und Freigabe (nur Netzwerk)
Bei Netzwerkzugriff gilt das restriktivere der beiden Rechte
NTFS-Berechtigungen: Lesen, Schreiben, Lesen & Ausführen, Ändern, Vollzugriff
NTFS-Rechte werden vererbt und kumuliert – Deny überschreibt immer Allow
Freigabeberechtigungen: Lesen, Ändern, Vollzugriff
Best Practice: Freigabe auf Vollzugriff setzen, Kontrolle nur über NTFS
Administrative Freigaben: C$, ADMIN$, IPC$, SYSVOL, NETLOGON