» Home » Verschiedenes » Datenhaltung

Datenhaltung auf Dateiservern

Jeder Windows Server ist zugleich auch Dateiserver. Auch wenn "nur" Exchange installiert ist, so gibt es auch mit einem Exchange Server mehrere Freigaben, auf die Clients und Administratoren zugreifen. Aber auf dieser Seite soll es um die generelle Art und Weise der Freigabe von Dateien auf Servern gehen.

Die Freigaben, die Exchange bei der Installation einrichtet sind:

• Resources$ bzw. Add-Ins$
  Hier liegen DLLs, damit die Administratoren z.B.: weitere SnapIns und Templates anzeigen kann. Bei Exchange 5.5 hieß die Freigabe noch Add-ins.
• Address
  Hier liegen die DLLs, um die Adresskarteikarten einzubinden
• servername.LOG
  Hier liegen die Trackinglogs, in denen Exchange aufzeichnet, wer wohin eine Mail sendet. Siehe auch Nachrichtentracking

So sehen Sie die Standardfreigaben eines Exchange 2003 Servers, der zugleich Domain Controller ist:

Hier soll es aber nicht um diese speziellen Freigaben gehen, sondern um Freigaben im Allgemeinen und wie sie ihren Server effektive und sicher verwalten. Die folgenden Aussagen gelten NUR mit Windows 2000 und höher. Windows NT4 und älter unterstützen keine Vererbung, so dass viele hier beschriebenen Dinge anders realisiert werden müssen.

Warum Berechtigungen vergeben ?

Die Frage wird mir tatsächlich immer mal wieder gestellt. Aber Sie glauben gar nicht viel viele Netzwerke so unsicher betrieben werden. Natürlich ist immer der Administrator schuld, wobei Windows 2000 und früher dem Administrator das Leben auch sehr einfach gemacht haben. Dabei waren die Standards nämlich:

• Jeder hat Vollzugriff auf neue Freigaben
  Wenn Sie eine neue Freigabe eingerichtet haben, dann hatte Windows per Default "JEDER" mit Vollzugriff hinzu gefügt.
• Jeder hat Vollzugriff auf das Dateisystem
  Ohne besondere Einschränkungen hat JEDER auf den Serverfestplatten sehr umfangreiche Berechtigungen.

Erst Windows 2003 ist hier um einiges restriktiver hier gilt:

• Weniger Rechte auf Freigaben
  Bei einer Einrichtung einer neuen Freigabe hat JEDER nur LESEN. Weitere Rechte müssen explizit vergeben werden. Damit ist natürlich immer noch ein Tor offen aber zumindest kann Jeder nun keine Daten mehr verändern oder die Festplatte voll schreiben.
• Weniger Rechte auf dem Dateisystem
  Auch hier wurden mit Windows 2003 die Berechtigungen reduziert. Auf der Systempartition ist schon einiges besser verschlossen worden, wobei Sie bei einem Dateiserver sowieso strikt die Datenbereiche der Anwender von den Systemdateien trennen sollten. Schon um einen Serverausfall durch eine volle Festplatte zu reduzieren.

Hinzu kommt, dass viele Administratoren bzw. Firmen sehr lasch die Vergabe von Rechten handhaben. Es ist durchaus Realität dass:

• .. Azubis am Ende ihrer drei Lehrjahre mehr Rechte haben als der Geschäftsführer
  Bei der Tour durch mehrere Abteilungen der Firma bekommen Sie oft die Rechte von Mitarbeitern der Abteilung ohne die vorher vergebenen Rechte zu entziehen. So sammelt der Azubi Berechtigungen ein, wie Pacman seine Vitaminpillen.
• .. es zu viele Domain Admins gibt
  Es ist sehr leicht, bei Problemen mit Berechtigungen einfach jemand zum Administrator zu machen und damit das Problem erst mal zu lösen. Nur wegnehmen lässt sich so ein Recht nur noch sehr schwer.
• .. Dateiserver immer noch mit FAT betrieben werden
  Hier ist eine Vergabe von Berechtigungen auf Dateisystemebene überhaupt nicht möglich
• .. Datenverzeichnisse Programme enthalten
  Gemeinsame Verzeichnisse sollten für die Ablage von Dokumenten dienen, also DOC, XLS, PPT und anderer Dateitypen aber nicht zum Ablegen von ausführbaren Programmen oder Installationsquellen. Die kann ein Virus oder ein Angreifer zu einfach durch "eigene Versionen" ersetzen und dann drauf warten, bis ein Administrator diese aufruft

und das ist nur die Spitze eines Eisbergs. Fassen Sie sich mal an ihre eigene Nase und überlegen Sie, wer bei ihnen wo wie viel Rechte hat. Sie werden erschreckt sein.

Freigaben, Verzeichnisse und Vererbung

Bei der Nutzung eines Windows Server als Dateiserver müssen Sie die Verzeichnisse, auf denen dann die Daten landen erst auf dem Server einrichten und explizit frei geben.

Hierbei sind die Berechtigungen auf die Freigabe für Gruppen zu definieren. Unterschieden wird zwischen:

• Lesen
  Die Anwender können maximal lesen, selbst wenn die Berechtigungen auf dem Dateisystem sogar mehr erlauben würden. Sie können also Dateien lesen und Programme ausführen. Eine Unterscheidung nach Ausführen, Lesen und Auflisten gibt es nicht. Diese Funktion konnte Novell NetWare früher bieten (FileScan, ExecuteOnly etc.). Hat der Anwender aber keine Rechte auf dem Dateisystem, kann er auch nichts lesen.
• Ändern
  Die Anwender können Dateien auf lesen, schreiben, anlegen und ausführen, sofern die Berechtigungen auf dem Dateisystem dies erlauben.
• Vollzugriff
  Zusätzlich zu allen Möglichkeiten des ÄNDERN-Rechts können die Anwender abhängig von den Dateisystemberechtigungen auch die Rechte auf Dateien und Verzeichnissen ändern. Aber Sie können nicht die Einstellungen auf der Freigabe selbst verändern. Dies kann nur der Administrator über den Server.

Es ist nicht ratsam, Berechtigungen auf einzelne Benutzer zu vergeben. Üblicherweise reicht das ÄNDERN-Recht aus, denn es ist keine gute Idee, wenn Anwender selbst die Berechtigungen auf Dateien verändern können. Wenn Sie als Administrator über das Netzwerk die Berechtigungen auf dem Dateisystem ändern möchten, dann können Sie sich zusätzlich in die Liste der Rechte aufnehmen oder über eine zweite Freigabe arbeiten.

Neben den Berechtigungen auf die Freigabe wirken natürlich noch die Berechtigungen auf dem Dateisystem.

Recht auf Freigabe	Recht auf Dateisystem	Effektive Rechte
keine	keine Lesen Ändern Vollzugriff	keine keine keine keine
Lesen	keine Lesen Ändern Vollzugriff	keine Lesen Lesen Lesen
Ändern	keine Lesen Ändern Vollzugriff	keine Lesen Ändern Ändern
Vollzugriff	keine Lesen Ändern Vollzugriff	keine Lesen Ändern Vollzugriff

Anhand der Tabelle ist gut zu erkennen, dass die Rechte auf die Freigabe die Maximalberechtigung beim Zugriff über das Netzwerk bestimmt. Allerdings ist auch klar, dass alleine eine Kontrolle der Berechtigungen über eine Freigabe für die meisten Netzwerke nicht mehr ausreichend sind. Weitere Informationen zur Berechtigung von NTFS und der Vererbung finden Sie auf NTFS mit Windows 2000.

Franks "Best Practice

Verstehen Sie das folgende Konzept nicht als die einzig glücklich machende Lösung. Finden Sie für ihr Unternehmen einen adäquaten Weg, um den Benutzern die erforderlichen Berechtigungen zu gewähren ohne Lücken in der Sicherheit zu schaffen und eine einfache Administration zu erlauben.

Das Konzept basiert auf folgenden Grundlagen:

• Homeverzeichnis
  Jeder Benutzer hat sein eigenes "Homeverzeichnis, auf dem er und natürlich SYSTEM, Backup, Virenscanner etc. Rechte haben. Das Heimatverzeichniss kann als eigene Freigabe existieren (z.B.: \\servername\Username$) oder ein Unterverzeichnis einer "HOME"-Freigabe sein. Seit Windows 2000 kann ein Laufwerk auch auf ein Verzeichnis in
• Teamverzeichnisse
  Weiterhin gibt es gemeinsame Datenbereiche, auf die mehrere Personen zugreifen können. Hier gilt es nach Projekte, Abteilungen und anderen Kriterien den Zugriff auf bestimmte Verzeichnisse zu steuern.

Bei allen Lösungen muss sichergestellt sein, dass ein Benutzer nur die bereiche erreichen kann für die er berechtigt ist. er darf nicht mehr aber auch nicht weniger erreichen können Leider erlaubt es Windows nicht, dass ein Benutzer nur die Verzeichnisse sieht, in die er Rechte hat. Ein Benutzer kann auch ein Verzeichnis sehen und beim Zugriff bekommt er erst die Meldung "Zugriff verweigert". Novell hat dies mit dem "FileScan"-Recht und der Vererbung damals besser gelöst.

Folgende Prinzipien der Berechtigung werden angewendet:

• Keine Berechtigungen auf Benutzer sondern nur über Gruppen
  Es ist viel einfacher, eine Person in eine Gruppe aufzunehmen und zu entfernen als auf vielen Servern in den verschiedenen Dateistrukturen die Rechte anzupassen und die SIDs von gelöschten Benutzern zu entfernen. Zudem erlaubt dies auch ein einfacheres Reporting: Allein die Kontrolle der Gruppenmitgliedschaften erlaubt eine Aussage, wohin der Anwender zugreifen kann.
• Keine Deaktivierung der Vererbung in Unterverzeichnissen
  Wenn die Vererbung auf einem Ordner abgeschaltet wird, dann können Sie im im schlimmsten Fall oben nicht mal mehr einem Virenscanner oder einem Controller ein "READ"-Rechte geben. Wie unangenehm ist es erst, wenn Sie als Administrator wisse, dass ihre Festplatte zwar 100 GByte groß ist und noch 20 GB frei sind, sie aber bei der Analyse mit Sequoia View oder einer einfachen Aufsummierung mit dem Explorer nur 40 GByte Dateien aufaddieren ?. Und sie können nicht sicher sein, dass jedes Backupprodukt oder jeder Virenscanner alle Dateien lesen, sichern und verarbeiten kann.
• Berechtigungen auf Freigaben reichen nicht aus
  Früher wurden keine Berechtigungen auf Ordnern und Dateien gegeben, sondern viel mehr mit Berechtigungen auf Freigaben gearbeitet. Das war lange Zeit ausreichend, sofern jede Abteilung und jedes Projekt eine eigenen Freigabe hatte. Allerdings führte das zu vielen Freigaben. Heute ist dies nicht mehr praktikabel, weil Produkte wie der Index-Server und Sharepoint die Berechtigungen auf den Dateien benötigen, um bei einer Suche eines Anwenders zu ermitteln, ob er diese Datei erreichen darf. Heute können Sie auf Freigaben problemlos "Jeder:ÄNDERN" geben, wenn sie sicher sind, dass die Berechtigungen auf dem Dateisystem korrekt gesetzt sind.
• Rechte nehmen von oben nach unten zu, Kein DENY, maximal Vererbung einschränken
  Da eine Unterbrechung der Vererbung nicht erlaubt ist, bedeutet dies auch, dass Rechte von weiter oben nach unten vererbt werden. Es ist daher nicht einfach möglich, z.B. in einem Verzeichnis Benutzern wieder Rechte zu nehmen. Der Einsatz von "DENY"-Rechten wird nicht genutzt, da DENY bis auf wenige Ausnahmen gewinnt und damit wieder den Administrator, Backup, Virenscanner etc. unbemerkt aussperren könnten.
• Maximal drei Ebenen
  Um die Überschaubarkeit zu gewährleisten, beschränke ich mich auf drei oder weniger Verzeichnisebenen, auf denen überhaupt Rechte vergebenen werden. Alle tieferen Verzeichnisse haben immer die gleichen Rechte wie das oberstes Verzeichnis mit explizit eingetragenen Berechtigungen.

Wie lässt sich nun mit diesen Vorgaben eine Berechtigungsstruktur aufbauen ?. Wenn auf der Freigabe schon sehr viele Berechtigungen vergeben werden (z.B.: "JEDER:ÄNDERN" oder Domain Benutzer:Vollzugriff) und dann noch auf dem Verzeichnis selbst ebenfalls jeder Anwender zumindest lesen können muss, dann ist es eigentlich unmöglich bei einem Unterverzeichnis nur bestimmten Gruppen die Berechtigungen zu geben. Der Einsatz von DENY oder die Abschaltung der Vererbung in Unterverzeichnissen ist ja nicht erwünscht.

Viele Administratoren wissen nicht, dass es zwei Stellen gibt, an denen die Vererbung von Berechtigungen gesteuert werden kann. Es ist nicht allein das Verzeichnis, auf dem die Vererbung komplett abgeschaltet werden kann. Für jedes individuell vergebene Berechtigung kann kontrolliert werden, ob diese Rechte vererbt werden oder nicht.

Durch diesen Kniff ist es z.B. möglich, dass Jeder:LESEN" darf, aber eben nur auf dem Hauptverzeichnis selbst und nicht in den Unterverzeichnissen. Auch wenn auf den Unterverzeichnissen die Vererbung prinzipiell aktiviert ist, werden die Rechte nicht vererbt. Ganz ohne DENY.

Das ganze könnte dann so aussehen:

Bei Windows 2000 hat auf der Wurzel der Festplatte selbst "Jeder:Lesen". bei Windows 2003 ist dies nicht mehr so. Damit durch einen Konfigurationsfehler doch wieder alle Rechte bekommen, wir auf dem Verzeichnis, welches frei gegeben wird, die Vererbung abgeschaltet.

Auf das Verzeichnis ABT  (für Abteilung) werden nun die Rechte so vergeben, dass Administratoren Vollzugriff auf diesen Ordner, Unterordner und Dateien haben. Aber "Jeder:Lesen" gilt nur für diesen Ordner. D.h. diese Rechte wird nicht vererbt. Über diesen Kniff können die Administratoren auf allen Ordern voll zugreifen, aber JEDER darf nur den Hauptordner auflisten, kommt aber in kein Unterverzeichnis hinein. Dazu müssen Sie aber in den "Erweiterten Eigenschaften" die Berechtigungen entsprechend einstellen.

Das Unterverzeichnis ABT1 und andere enthalten daher nur die Administratoren als vererbte Berechtigungen und sonst keine Einträge. Hier muss dann z.B. die Abteilungsgruppe mit dem Recht "Ändern" für "diesen Ordner, Unterordner und Dateien" eingetragen werden.

Nach dem gleichen Schema kann auch eine Vergabe von Rechten in Unterordnern erfolgen, z.B. indem Sie auf dem Ordner "ABT1" der Abteilung das Recht "LESEN: nur auf diesem Ordner" geben. Dann können Sie auf den darunter liegenden Ordnern feiner Rechte vergeben. Sie sollten dazu aber auch die Seite NTFS mit Windows 2000 lesen, wenn Sie genauer verstehen wollten, wie die Vererbung auf NTFS funktioniert. Allgemeine Hinweise finden Sie auch auf Vererbung.

Was bringt mir DFS ?

Die Steuerung der Berechtigungen auf Freigaben, Verzeichnissen und Dateien ist damit gelöst. Allerdings enthalten die Pfade immer noch den Servernamen. Dies stört spätestens bei der nächsten Migration auf einen anderen Server. Wenn Sie heute schon mehrere Server mit mehreren Freigaben haben, dann ist es nicht nur eine Frage der Kosmetik, ob die Anwender zu jeder Freigabe einen Laufwerksbuchstaben verbinden. Spätestens bei "Z:" ist auch bei Windows das Ende erreicht und andere Ideen müssen gefunden werden.

Und hier ist der Moment, bei dem DFS (Distributed File System) auf der Bühne erscheint. DFS erlaubt es ihnen viele Freigaben in einem virtuellen Baum zusammen zu fassen. Dies funktioniert schon seit Windows NT4 aber damals war der DFS-Server dann der kritische Faktor. Seit Windows 2000 können Sie jedoch ein Domänen-DFS einrichten, bei dem alle Domain Controller als Stammserver dienen können und damit auch beim Ausfall eines Server die Struktur weiterhin erreichbar bleibt. Ab Windows 2003 können Sie sogar mehrere DFS-Stämme auf einem Server einrichten.

Damit können Sie den Zugriff der Anwender vom Servernamen lösen und auf den Domänennamen binden. Das kann z.B. wie folgt aussehen:

In der Domäne MSXFAQ.DE gibt es einen Domänen-DFS-Stamm "DFS". Darunter gibt es DFS-Verknüpfungen auf die eigentlichen Freigaben der einzelnen Server. Beim Zugriff auf \\msxfaq.de\dfs\gs verbindet sich mein Client daher in Wirklichkeit mit \\server3\gs . Das passiert transparent im Hintergrund. Wenn die Freigabe später einmal auf einen anderen Server migriert werden muss, dann werden die Daten samt Berechtigungen einfach kopiert/verschoben und die Verknüpfung umgehängt. Nach kurzer Zeit (max. 1800 Sekunden) haben alle Clients dies bemerkt.

Auf dem Bild sehen Sie auch noch das Verzeichnis INFO, welches auf zwei Freigaben verknüpft ist. Dies ist eine Option, um den Zugriff von Anwendern auf verschiedene Server zu verteilen. (höhere Verfügbarkeit, Lastverteilung). Allerdings müssen Sie natürlich sicherstellen, dass die Daten identisch sind. Dies kann durch das Windows eigene FRS geschehen oder durch eigene Kopierroutinen (ROBOCOPY etc.). Die Grenzen dieser Replikation sind aber spätestens bei großen Dateien oder z.B. ACCESS-Datenbanken erreicht, da Datei und Satzsperrungen natürlich nicht repliziert werden. Allerdings ist dies z.B.: eine gute Option um Datenblätter und andere "ReadOnly"-Daten auch auf mehreren Standorten bereit zu stellen. Windows XP nutzt nämlich bevorzugt den Server, der netztechnisch nahe steht. Vorausgesetzt sie haben im Active Directory ihre Standorte und Dienste korrekt gepflegt.

Wer sich nun darüber beschwerten möchte, dass Sie immer nur die erste Ebene des DFS verlinken können, dann trösten Sie sich einfach damit, dass Sie natürlich auch rekursiv eine DFS-Link auf ein anderes DFS verbinden können. Das ganze funktioniert bis zu einer Verschachtelungstiefe von acht Ebenen.

Vererbung mit DENY und expliziten ALLOW

Eine Besonderheit bei der Vergabe von Berechtigungen sollten Sie kennen. In der Regel überschreibt ein "DENY-Recht" ein ALLOW-Recht. Aber in einem einzigen Fall wird dies ausgehebelt.

Explizites ALLOW überschreibt ein DENY

Weil das nicht ganz so einfach zu verstehen ist, hier ein Beispiel mit drei Verzeichnissen:

Verzeichnis	Gesetzte und vererbte Rechte	Effektive Rechte für TESTUSER
C:\	Explizit: JEDER: READ Explizit: ADMIN FULL Explizit: TESTUSER: DENY WRITE	Testbenutzer kann Lesen aber nicht schreiben.
C:\Test1 Vererbung aktiv	Vererbt: JEDER: READ Vererbt: ADMIN FULL (vererbt) Vererbt: TESTUSER: DENY WRITE	Testbenutzer kann Lesen aber nicht schreiben.
C:\Test1\Test2 Vererbung aktiv	Vererbt: JEDER: READ Vererbt: ADMIN FULL Vererbt: TESTUSER: DENY WRITE Explizit: TESTUSER: FULL	Testbenutzer kann Lesen und Schreiben. Explizites ALLOW gewinnt über vererbtes DENY
C:\TEST1\Test2\test3 Vererbung aktiv	Vererbt: JEDER: READ Vererbt: ADMIN FULL Vererbt: TESTUSER: DENY WRITE Vererbt: TESTUSER: FULL	Testbenutzer kann Lesen aber nicht schreiben. Beide Rechte sind vererbt und DENY gewinnt

Vermeiden Sie es bei solchen Tests die Rechte der Wurzel C:\ zu ändern oder die Systemgruppen und Benutzer wie JEDER, Domänen Benutzer, Domänen Administratoren mit DENY einzusetzen, wenn Sie noch nicht das Ergebnis kennen.

• 233419 Subordinate Explicit Grant Overrides Inherited Denial

Beim Exchange Store ist das genau so wenn Sie z.B. auf der untersten Ebene der der Datenbank selbst (nicht darüber !) einem Anwender oder eine Gruppe volle Rechte geben, dann gewinnt dies, obwohl über die Organisation ein "DENY" vererbt wird. Das ganze noch einmal anders aufbereitet:

Resultierende Rechte		Allow
		nicht eingetragen	explizit	vererbt
DENY	nicht eingetragen	keine Berechtigungen	erlaubt	erlaubt
	explizit	verboten	verboten	verboten
	vererbt	verboten	ERLAUBT	verboten

Sichtbarkeit mit Access Based Enumeration

Wenn Sie nun mit Berechtigungen arbeiten, dann kann es durchaus passieren, dass Sie auf einem Ordner zwar rechte haben, aber auf dem darüber liegenden Ordner keine Rechte. Normalerweise könnten Sie nun ihre Rechte gar nicht ausüben. Stellen Sie sich vor, Sie haben zwar den Schlüssel für ihr Bankschließfach, aber die Tür vor dem Safe ist verschlossen. Was bei Banken ganz normal ist, kann bei Netzwerken natürlich nicht funktionieren.

• Novell NetWare
  Novell hat dazu den Benutzer auch auf den Weg zu seinen Daten die Berechtigungen geben, nur den Weg dorthin zu sehen und zu betreten. NetWare hat dazu die erforderlichen Berechtigungen errechnet
• Windows
  Windows hingegen nutzt einfach nur die Rechte in den ACLs. Sie kommen also nicht an die Dateien heran, es sei denn es gibt einen "Seiteneingang". Dieser Seiteneingang bei Windows ist der "SHARE", den Sie einrichten können. Damit ist es irrelevant, welche Rechte auf übergeordneten Ordnern eingetragen sind

Zusätzlich können Sie in Windows in einer Richtlinie vorgeben, dass ein Anwender bei Angabe des absoluten Pfades auch direkt auf die Dateien zugreifen kann, wenn auf dem Web dorthin die Rechte fehlen. Aber das sind meist nur theoretische Betrachtungen, da die meisten Administratoren auf dem Share mit Berechtigungen anfangen und das freigegebene Verzeichnis entsprechend mit Berechtigungen versehen werden.

Viel unangenehmer ist ein Verhalten von Windows, dass ein Anwender beim Zugriff auf einen Ordner alle Unterordner sehen kann, selbst wenn er nicht darauf berechtigt ist. Das ist besonders in größeren Dateistrukturen ärgerlich, wenn Anwender auf Ordner klicken und die Fehlermeldung erhalten.

Seit Windows 2003 SP1 gibt es die Funktion "Access Based Enumeration", die Sie nun pro Server oder pro Freigabe aktivieren können. Ab sofort (ohne Neustart) prüft der Serverdienst nun bei jedem Objekt im Verzeichnis, ob der zugreifende Benutzer auch darauf berechtigt ist. Ohne Berechtigungen wird der Eintrag einfach nicht zurück gegeben. Bei einer saubereren Berechtigungsvergabe kann das Ergebnis dass wie folgt aussehen

Auf dem Server ist ein Verzeichnis "Group" mit unterschiedlich berechtigten Verzeichnissen frei gegeben. Die "Rote" Dosbox zeigt die Ansicht für den Administrator. Die blaue und grüne Box die Ansicht für "User1" und "User2" Sie sehen nur ihren Abteilungsordner und den gemeinsamen Teamordner. Damit ist funktioniert wurde folgendes durchgeführt

• Freigabe GROUP
  Jeder: Ändern
  
• Verzeichnis GROUP
  Vererbung abgeschaltet, damit von C:\ nichts vererbt wird
  Administratoren Vollzugriff
  Benutzer: Lesen nur auf diesen Ordner !
  
• Verzeichnis:  Abteilung1
  Vererbung AKTIV, damit die Standardberechtigungen für Backup und Administrator vorhanden sind
  Gruppe  Abteilung1: Ändern
  
  Der Eintrag auf dem ersten Fenster trägt automatisch auch die Vererbung für Unterordner ein. Die gleichen Berechtigungen werden analog auch für andere Gruppen auf den übrigen Verzeichnissen vergeben
• Zugriffssteuerung konfigurieren
  Nicht vergessen dürfen wir natürlich nun auch die Aktivierung der Zugriffsteuerung. Sie können diese Einstellung entweder pro Freigabe individuell oder Global für den Server durchführen.
  

Natürlich bedeutet diese zusätzliche Prüfung durch den Serverdienst eine höhere Belastung aber Messungen von Microsoft haben gezeigt, dass bis zu 15.000 Dateien und Ordner in einem Verzeichnis die Verzögerung nicht relevant ist. Und wer hat schon so viele Dateien in einem Verzeichnis. Ich frage mich gerade was länger dauert: Die Übertragung und Anzeige dieser Datenmenge über ein WAN und meine manuelle Suche nach dem gewünschten Objekt oder die Berechnung auf dem Server. Der "Nutzen" für den Anwender ist auf jeden Fall auch etwas wert: Er "sieht" nur noch, was er erreichen kann. Bei einem "guten" Berechtigungskonzept sieht er nur wenige Verzeichnisse.

Für die, die schon immer etwas "mehr" wissen wollten: Die Freigaben eines Servers werden schon immer in der Windows Registrierung gespeichert. Entsprechend finden Sie dort zur Freigabe auch die Einstellung der Zugriffssteuerung.

Wenn Sie die Einstellung in der GUI für den kompletten Server aktivieren, dann trägt die MMC einfach nur bei allen Shares den Wert ein. Dieser Wert ist aber als "Bitmuster" zu sehen, d.h. tragen Sie bitte nicht 2048 manuell ein. Interessant ist, dass Microsoft bei einigen Freigaben (z.B.: NETLOGON) aber auch die Exchange Freigaben schon mit Werten <>0 versieht. Die Bedeutung der einzelnen Bits habe ich bislang noch nicht in Erfahrung bringen können.

• Windows 2003 Access Based Enumeration
  Novell kann es schon lange und nun zeigt auch ein Windows 2003 Server nur noch die Dateien und Verzeichnisse an, auf die Sie als Anwender auch berechtigt sind. (Windows 2003 SP1 Voraussetzung)
  http://www.Microsoft.com/downloads/details.aspx?FamilyID=04A563D9-78D9-4342-A485-B030AC442084&displaylang=en
• Word Dokument mit Daten zur Nutzung und Performance
  http://www.Microsoft.com/windowsserver2003/techinfo/overview/abe.mspx

Weitere Links

• NTFS mit Windows 2000
  Unbedingt lesen, wenn Sie genauer verstehen wollten, wie die Vererbung funktioniert.
• Vererbung
  Alles zum Thema Berechtigungen und Vererbung
• DFS als Flash Animation
  http://www.Microsoft.com/windowsserver2003/docs/dfs.swf
• subinacl.exe aus dem Resource Kit
  http://www.Microsoft.com/downloads/details.aspx?FamilyID=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLang=en
• XCACLS
  http://msgoodies.blogspot.com/2004/10/xcacls-v52-was-released-2004-07-02.html
• CDACLS - Kommandozeile mit Windows GUI zur ACL-Bearbeitung auf Shares, Regkeys, Dateisystem
  http://www.nastyboy.ch/cdacls.zip
• Verwaiste SIDs mit SUBINACL entfernen
  http://www.faq-o-matic.net/content/view/223/44/
• SAT Rechte virtualisieren - Leider nicht über NT4 hinaus gekommen
  http://www.fim.uni-linz.ac.at/sat/
• Sperre der Vererbung von Berechtigungen für Objekt Konfiguration
  http://technet.microsoft.com/de-de/library/aa998240.aspx
• 264733 How to enable the Security tab for the organization object in Exchange 2000 and in Exchange 2003

Keywords:

Datenhaltung NTFS Freigabe DFS Vererbung ABE

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
  • Infofilm
  • NTFS Intern
  • Timesync/NTP
  • Gruppenrichtlinien
  • Windows Gruppen
  • NLB
  • Datenhaltung
  • Vererbung
  • Kerberos
  • Schattenkopien
  • Imagebackup
  • Update/Patch
  • Bluescreen
  • WSUS
  • RPC
  • RIS und PXE
  • WDS/WAIK
  • Endpoint Security
  • NIS und NFS
  • WPad
  • SQL-Server
  • Cityhosting
  • Podcast
  • MSBlaster
  • Privat PC Sicherheit
  • IBM R40 Praxisbericht
  • Windows Home Server
  • Maus8000
  • Wiki
  • Blog
  • Wurmmails
  • Filesync
  • Contoso
  • GUIDAccess
  • ISDNTechnik
  • Meine erste Facharbeit
  • 6h Lader
  • Bluefritz! Umbau
  • 220V Adapterstecker
  • Hauptschalter
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages