Connect with us

Wie man

So verstehen Sie die verwirrenden Windows 7-Datei- / Freigabeberechtigungen

So verstehen Sie die verwirrenden Windows 7-Datei- / Freigabeberechtigungen

Haben Sie jemals versucht, alle Berechtigungen in Windows herauszufinden? Es gibt Freigabeberechtigungen, NTFS-Berechtigungen, Zugriffssteuerungslisten und mehr. So arbeiten sie alle zusammen.

Die Sicherheitskennung

Die Windows-Betriebssysteme verwenden SIDs, um alle Sicherheitsprinzipale darzustellen. SIDs sind nur Zeichenfolgen variabler Länge mit alphanumerischen Zeichen, die Maschinen, Benutzer und Gruppen darstellen. SIDs werden ACLs (Access Control Lists) jedes Mal hinzugefügt, wenn Sie einem Benutzer oder einer Gruppe die Berechtigung für eine Datei oder einen Ordner erteilen. Hinter den Kulissen werden SIDs wie alle anderen Datenobjekte binär gespeichert. Wenn Sie jedoch eine SID in Windows sehen, wird diese mit einer besser lesbaren Syntax angezeigt. Es kommt nicht oft vor, dass in Windows irgendeine Form von SID angezeigt wird. Das häufigste Szenario ist, wenn Sie einer Ressource eine Berechtigung erteilen, deren Benutzerkonto gelöscht wird und diese dann als SID in der ACL angezeigt wird. Schauen wir uns also das typische Format an, in dem SIDs in Windows angezeigt werden.

Die Notation, die Sie sehen, hat eine bestimmte Syntax. Nachfolgend sind die verschiedenen Teile einer SID in dieser Notation aufgeführt.

  1. Ein ‚S‘-Präfix
  2. Strukturversionsnummer
  3. Ein 48-Bit-Identifizierungswert für die Kennung
  4. Eine variable Anzahl von 32-Bit-RID-Werten (Sub Authority oder Relative Identifier)

Mit meiner SID im Bild unten werden wir die verschiedenen Abschnitte aufteilen, um ein besseres Verständnis zu erhalten.

Die SID-Struktur:

‚S‘ – Die erste Komponente einer SID ist immer ein ‚S‘. Dies wird allen SIDs vorangestellt und dient dazu, Windows darüber zu informieren, dass es sich bei der folgenden SID um eine SID handelt.
‚1‘ – Die zweite Komponente einer SID ist die Versionsnummer der SID-Spezifikation. Wenn sich die SID-Spezifikation ändern würde, würde dies Abwärtskompatibilität bieten. Ab Windows 7 und Server 2008 R2 befindet sich die SID-Spezifikation noch in der ersten Version.
‚5‘ – Der dritte Abschnitt einer SID wird als Identifier Authority bezeichnet. Dies definiert, in welchem ​​Bereich die SID generiert wurde. Mögliche Werte für diese Abschnitte der SID können sein:

  1. 0 – Null Autorität
  2. 1 – Weltbehörde
  3. 2 – Gemeindeverwaltung
  4. 3 – Erstellerautorität
  5. 4 – Nicht eindeutige Behörde
  6. 5 – NT-Behörde

’21‘ – Die vierte Komponente ist Unterautorität 1, der Wert ’21‘ wird im vierten Feld verwendet, um anzugeben, dass die folgenden Unterberechtigungen den lokalen Computer oder die Domäne identifizieren.
‚1206375286-251249764-2214032401‘ – Diese werden als Unterbehörde 2,3 bzw. 4 bezeichnet. In unserem Beispiel wird dies verwendet, um den lokalen Computer zu identifizieren, kann aber auch die Kennung für eine Domäne sein.
‚1000‘ – Die Unterautorität 5 ist die letzte Komponente in unserer SID und wird als RID (Relative Identifier) ​​bezeichnet. Die RID bezieht sich auf jeden Sicherheitsprinzipal. Bitte beachten Sie, dass alle benutzerdefinierten Objekte, die nicht von Microsoft geliefert werden, eine haben RID von 1000 oder höher.

Sicherheitsprinzipale

Ein Sicherheitsprinzipal ist alles, an das eine SID angehängt ist. Dies können Benutzer, Computer und sogar Gruppen sein. Sicherheitsprinzipale können lokal sein oder sich im Domänenkontext befinden. Sie verwalten lokale Sicherheitsprinzipale über das Snap-In Lokale Benutzer und Gruppen unter Computerverwaltung. Um dorthin zu gelangen, klicken Sie mit der rechten Maustaste auf die Computerverknüpfung im Startmenü und wählen Sie Verwalten.

Um ein neues Benutzersicherheitsprinzip hinzuzufügen, können Sie zum Benutzerordner gehen und mit der rechten Maustaste klicken und einen neuen Benutzer auswählen.

Wenn Sie auf einen Benutzer doppelklicken, können Sie ihn auf der Registerkarte Mitglied von zu einer Sicherheitsgruppe hinzufügen.

Navigieren Sie zum Erstellen einer neuen Sicherheitsgruppe zum Ordner Gruppen auf der rechten Seite. Klicken Sie mit der rechten Maustaste auf den Leerraum und wählen Sie eine neue Gruppe aus.

Freigabeberechtigungen und NTFS-Berechtigungen

In Windows gibt es zwei Arten von Datei- und Ordnerberechtigungen: Erstens die Freigabeberechtigungen und zweitens NTFS-Berechtigungen, die auch als Sicherheitsberechtigungen bezeichnet werden. Beachten Sie, dass beim Freigeben eines Ordners standardmäßig die Gruppe „Jeder“ die Leseberechtigung erhält. Die Sicherheit von Ordnern erfolgt normalerweise mit einer Kombination aus Freigabe- und NTFS-Berechtigung, wenn dies der Fall ist. Beachten Sie unbedingt, dass immer die restriktivste Berechtigung gilt, z. B. wenn die Freigabeberechtigung auf Jeder = Lesen festgelegt ist (dies ist die Standardeinstellung). Mit der NTFS-Berechtigung können Benutzer jedoch Änderungen an der Datei vornehmen. Die Freigabeberechtigung wird bevorzugt und die Benutzer dürfen keine Änderungen vornehmen. Wenn Sie die Berechtigungen festlegen, steuert die LSASS (Local Security Authority) den Zugriff auf die Ressource. Wenn Sie sich anmelden, erhalten Sie ein Zugriffstoken mit Ihrer SID. Wenn Sie auf die Ressource zugreifen, vergleicht der LSASS die SID, die Sie der ACL (Access Control List) hinzugefügt haben, und bestimmt, ob sich die SID in der ACL befindet Zugriff erlauben oder verweigern. Unabhängig davon, welche Berechtigungen Sie verwenden, gibt es Unterschiede. Schauen wir uns also an, um besser zu verstehen, wann wir welche verwenden sollten.

Freigabeberechtigungen:

  1. Gilt nur für Benutzer, die über das Netzwerk auf die Ressource zugreifen. Sie gelten nicht, wenn Sie sich lokal anmelden, beispielsweise über Terminaldienste.
  2. Dies gilt für alle Dateien und Ordner in der freigegebenen Ressource. Wenn Sie ein detaillierteres Einschränkungsschema bereitstellen möchten, sollten Sie zusätzlich zu den freigegebenen Berechtigungen die NTFS-Berechtigung verwenden
  3. Wenn Sie über FAT- oder FAT32-formatierte Volumes verfügen, ist dies die einzige Form der Einschränkung, die Ihnen zur Verfügung steht, da auf diesen Dateisystemen keine NTFS-Berechtigungen verfügbar sind.

NTFS-Berechtigungen:

  1. Die einzige Einschränkung für NTFS-Berechtigungen besteht darin, dass sie nur auf einem Volume festgelegt werden können, das für das NTFS-Dateisystem formatiert ist
  2. Denken Sie daran, dass NTFS kumulativ sind. Dies bedeutet, dass die effektiven Berechtigungen eines Benutzers das Ergebnis der Kombination der zugewiesenen Berechtigungen des Benutzers und der Berechtigungen aller Gruppen sind, denen der Benutzer angehört.

Die neuen Freigabeberechtigungen

Windows 7 wurde zusammen mit einer neuen „einfachen“ Freigabetechnik gekauft. Die Optionen wurden von Lesen, Ändern und Vollzugriff auf geändert. Lesen und Lesen / Schreiben. Die Idee war Teil der gesamten Home-Gruppenmentalität und macht es einfach, einen Ordner für Personen ohne Computerkenntnisse freizugeben. Dies erfolgt über das Kontextmenü und kann problemlos mit Ihrer Heimatgruppe geteilt werden.

Wenn Sie mit jemandem teilen möchten, der nicht zur Heimatgruppe gehört, können Sie jederzeit die Option „Bestimmte Personen …“ auswählen. Das würde einen „ausgefeilteren“ Dialog hervorrufen. Wo Sie einen bestimmten Benutzer oder eine bestimmte Gruppe angeben können.

Wie bereits erwähnt, gibt es nur zwei Berechtigungen. Zusammen bieten sie ein Alles-oder-Nichts-Schutzschema für Ihre Ordner und Dateien.

  1. Lesen Die Berechtigung ist die Option „Schauen, nicht berühren“. Empfänger können eine Datei öffnen, aber nicht ändern oder löschen.
  2. Lesen Schreiben ist die Option „Alles tun“. Empfänger können eine Datei öffnen, ändern oder löschen.

Der Weg der alten Schule

Der alte Freigabedialog hatte mehr Optionen und gab uns die Möglichkeit, den Ordner unter einem anderen Alias ​​freizugeben. Dadurch konnten wir die Anzahl der gleichzeitigen Verbindungen begrenzen und das Caching konfigurieren. Keine dieser Funktionen geht in Windows 7 verloren, sondern wird unter der Option „Erweiterte Freigabe“ ausgeblendet. Wenn Sie mit der rechten Maustaste auf einen Ordner klicken und dessen Eigenschaften aufrufen, finden Sie diese Einstellungen für die erweiterte Freigabe auf der Registerkarte Freigabe.

Wenn Sie auf die Schaltfläche „Erweiterte Freigabe“ klicken, für die lokale Administratoranmeldeinformationen erforderlich sind, können Sie alle Einstellungen konfigurieren, mit denen Sie in früheren Windows-Versionen vertraut waren.

Wenn Sie auf die Schaltfläche Berechtigungen klicken, werden Ihnen die 3 Einstellungen angezeigt, mit denen wir alle vertraut sind.

  1. Lesen Mit dieser Berechtigung können Sie Dateien und Unterverzeichnisse anzeigen und öffnen sowie Anwendungen ausführen. Es können jedoch keine Änderungen vorgenommen werden.
  2. Ändern Erlaubnis erlaubt Ihnen, alles zu tun, was Lesen Mit dieser Berechtigung können Sie auch Dateien und Unterverzeichnisse hinzufügen, Unterordner löschen und Daten in den Dateien ändern.
  3. Volle Kontrolle ist das „Alles tun“ der klassischen Berechtigungen, da Sie damit alle vorherigen Berechtigungen ausführen können. Darüber hinaus erhalten Sie die erweiterte NTFS-Berechtigung zum Ändern. Dies gilt nur für NTFS-Ordner

NTFS-Berechtigungen

Die NTFS-Berechtigung ermöglicht eine sehr detaillierte Kontrolle über Ihre Dateien und Ordner. Trotzdem kann das Ausmaß der Granularität für einen Neuling entmutigend sein. Sie können die NTFS-Berechtigung auch sowohl pro Datei als auch pro Ordner festlegen. Um die NTFS-Berechtigung für eine Datei festzulegen, klicken Sie mit der rechten Maustaste und gehen Sie zu den Dateieigenschaften, in denen Sie zur Registerkarte Sicherheit wechseln müssen.

Um die NTFS-Berechtigungen für einen Benutzer oder eine Gruppe zu bearbeiten, klicken Sie auf die Schaltfläche Bearbeiten.

Wie Sie vielleicht sehen, gibt es ziemlich viele NTFS-Berechtigungen, also lassen Sie uns sie aufschlüsseln. Zuerst sehen wir uns die NTFS-Berechtigungen an, die Sie für eine Datei festlegen können.

  1. Volle Kontrolle Ermöglicht das Lesen, Schreiben, Ändern, Ausführen, Ändern von Attributen und Berechtigungen sowie das Übernehmen des Eigentums an der Datei.
  2. Ändern Ermöglicht das Lesen, Schreiben, Ändern, Ausführen und Ändern der Dateiattribute.
  3. Lesen & Ausführen Mit dieser Option können Sie die Daten, Attribute, Eigentümer und Berechtigungen der Datei anzeigen und die Datei ausführen, wenn es sich um ein Programm handelt.
  4. Lesen Mit dieser Option können Sie die Datei öffnen, ihre Attribute, Eigentümer und Berechtigungen anzeigen.
  5. Schreiben Mit dieser Option können Sie Daten in die Datei schreiben, an die Datei anhängen und deren Attribute lesen oder ändern.

NTFS-Berechtigungen für Ordner haben leicht unterschiedliche Optionen. Schauen wir sie uns also an.

  1. Volle Kontrolle Mit dieser Option können Sie Dateien im Ordner lesen, schreiben, ändern und ausführen, Attribute und Berechtigungen ändern und den Ordner oder die darin enthaltenen Dateien in Besitz nehmen.
  2. Ändern Ermöglicht das Lesen, Schreiben, Ändern und Ausführen von Dateien im Ordner sowie das Ändern der Attribute des Ordners oder der darin enthaltenen Dateien.
  3. Lesen & Ausführen Mit dieser Option können Sie den Inhalt des Ordners anzeigen, Daten, Attribute, Eigentümer und Berechtigungen für Dateien im Ordner anzeigen und Dateien im Ordner ausführen.
  4. Ordnerinhalt auflisten Mit dieser Option können Sie den Inhalt des Ordners anzeigen und die Daten, Attribute, Eigentümer und Berechtigungen für Dateien im Ordner anzeigen.
  5. Lesen Mit dieser Option können Sie die Daten, Attribute, Eigentümer und Berechtigungen der Datei anzeigen.
  6. Schreiben Mit dieser Option können Sie Daten in die Datei schreiben, an die Datei anhängen und deren Attribute lesen oder ändern.

Microsoft-Dokumentation Außerdem heißt es, dass Sie mit „Ordnerinhalt auflisten“ Dateien innerhalb des Ordners ausführen können. Dazu müssen Sie jedoch noch „Lesen und Ausführen“ aktivieren. Es ist eine sehr verwirrend dokumentierte Erlaubnis.

Zusammenfassung

Zusammenfassend sind Benutzernamen und Gruppen Darstellungen einer alphanumerischen Zeichenfolge, die als SID (Security Identifier) ​​bezeichnet wird. Freigabe- und NTFS-Berechtigungen sind an diese SIDs gebunden. Freigabeberechtigungen werden vom LSSAS nur beim Zugriff über das Netzwerk überprüft, während NTFS-Berechtigungen nur auf den lokalen Computern gültig sind. Ich hoffe, dass Sie alle ein fundiertes Verständnis dafür haben, wie die Datei- und Ordnersicherheit in Windows 7 implementiert ist. Wenn Sie Fragen haben, können Sie diese gerne in den Kommentaren abhören.

Continue Reading
Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Tendencia