In dieser Installation von Geek School werfen wir einen Blick auf die Ordnervirtualisierung, SIDs und Berechtigungen sowie das verschlüsselnde Dateisystem.
Lesen Sie unbedingt die vorherigen Artikel dieser Geek School-Serie unter Windows 7:
Und bleiben Sie diese Woche für den Rest der Serie dran.
Ordnervirtualisierung
Windows 7 führte den Begriff der Bibliotheken ein, der es Ihnen ermöglichte, einen zentralen Ort zu haben, von dem aus Sie Ressourcen anzeigen können, die sich an anderer Stelle auf Ihrem Computer befinden. Genauer gesagt ermöglichte Ihnen die Bibliotheksfunktion das Hinzufügen von Ordnern von überall auf Ihrem Computer zu einer von vier Standardbibliotheken, Dokumente, Musik, Videos und Bilder, die über den Navigationsbereich von Windows Explorer leicht zugänglich sind.

Bei der Bibliotheksfunktion sind zwei wichtige Dinge zu beachten:
- Wenn Sie einer Bibliothek einen Ordner hinzufügen, wird der Ordner selbst nicht verschoben, sondern es wird ein Link zum Speicherort des Ordners erstellt.
- Um Ihren Bibliotheken eine Netzwerkfreigabe hinzuzufügen, muss diese offline verfügbar sein, Sie können jedoch auch eine Umgehung mit symbolischen Links verwenden.
Um einen Ordner zu einer Bibliothek hinzuzufügen, gehen Sie einfach in die Bibliothek und klicken Sie auf den Standort-Link.

Klicken Sie dann auf die Schaltfläche Hinzufügen.

Suchen Sie nun den Ordner, den Sie in die Bibliothek aufnehmen möchten, und klicken Sie auf die Schaltfläche Ordner einschließen.

Das ist alles dazu.

Die Sicherheitskennung
Das Windows-Betriebssystem verwendet SIDs, um alle Sicherheitsprinzipien darzustellen. SIDs sind nur alphanumerische Zeichenfolgen mit variabler Länge, die Maschinen, Benutzer und Gruppen darstellen. SIDs werden ACLs (Access Control Lists) jedes Mal hinzugefügt, wenn Sie einem Benutzer oder einer Gruppe Berechtigungen für eine Datei oder einen Ordner erteilen. Hinter den Kulissen werden SIDs genauso gespeichert wie alle anderen Datenobjekte: in binärer Form. Wenn Sie jedoch in Windows eine SID sehen, wird sie mit einer besser lesbaren Syntax angezeigt. Es kommt nicht oft vor, dass Sie in Windows irgendeine Form von SID sehen; Das häufigste Szenario ist, wenn Sie jemandem die Berechtigung für eine Ressource erteilen und dann sein Benutzerkonto löschen. Die SID wird dann in der ACL angezeigt. Werfen wir also einen Blick auf das typische Format, in dem Sie SIDs in Windows sehen.

Die Notation, die Sie sehen werden, erfordert eine bestimmte Syntax. Unten sind die verschiedenen Teile einer SID.
- Ein ‘S’-Präfix
- Strukturrevisionsnummer
- Ein 48-Bit-Berechtigungswert für die Kennung
- Eine variable Anzahl von 32-Bit-Sub-Autoritäts- oder Relative-Identifier-(RID)-Werten
Unter Verwendung meiner SID im Bild unten werden wir die verschiedenen Abschnitte aufteilen, um ein besseres Verständnis zu erhalten.

Die SID-Struktur:
‘S’ – Die erste Komponente einer SID ist immer ein ‘S’. Dies wird allen SIDs vorangestellt und soll Windows darüber informieren, dass es sich bei dem Folgenden um eine SID handelt.
‘1′ – Die zweite Komponente einer SID ist die Revisionsnummer der SID-Spezifikation. Wenn sich die SID-Spezifikation ändern würde, würde dies Abwärtskompatibilität bieten. Ab Windows 7 und Server 2008 R2 befindet sich die SID-Spezifikation noch in der ersten Überarbeitung.
‘5′ – Der dritte Abschnitt einer SID wird als Identifier Authority bezeichnet. Damit wird definiert, in welchem Umfang die SID generiert wurde. Mögliche Werte für diese Abschnitte der SID können sein:
- 0 – Null Autorität
- 1 – Weltautorität
- 2 – Lokale Behörde
- 3 – Autorität des Schöpfers
- 4 – Nicht-eindeutige Autorität
- 5 – NT-Autorität
’21′ – Die vierte Komponente ist Sub-Autorität 1. Der Wert ’21′ wird im vierten Feld verwendet, um anzugeben, dass die folgenden Sub-Autoritäten die lokale Maschine oder die Domäne identifizieren.
‘1206375286-251249764-2214032401′ – Diese werden als Unterbehörde 2, 3 bzw. 4 bezeichnet. In unserem Beispiel wird dies verwendet, um den lokalen Rechner zu identifizieren, könnte aber auch die Kennung für eine Domain sein.
‘1000′ – Unterbehörde 5 ist die letzte Komponente in unserem SID und heißt RID (Relative Identifier). Die RID bezieht sich auf jedes Sicherheitsprinzip: Bitte beachten Sie, dass alle benutzerdefinierten Objekte, die nicht von Microsoft geliefert werden, eine RID von 1000 oder höher haben.
Sicherheitsprinzipien
Ein Sicherheitsprinzip ist alles, an das eine SID angehängt ist. Dies können Benutzer, Computer und sogar Gruppen sein. Sicherheitsprinzipien können lokal oder im Domänenkontext sein. Sie verwalten lokale Sicherheitsprinzipien über das Snap-In Lokale Benutzer und Gruppen unter Computerverwaltung. Um dorthin zu gelangen, klicken Sie mit der rechten Maustaste auf die Computerverknüpfung im Startmenü und wählen Sie Verwalten.

Um ein neues Benutzersicherheitsprinzip hinzuzufügen, können Sie zum Ordner Benutzer gehen und mit der rechten Maustaste klicken und Neuer Benutzer auswählen.

Wenn Sie auf einen Benutzer doppelklicken, können Sie ihn auf der Registerkarte Mitglied von zu einer Sicherheitsgruppe hinzufügen.

Um eine neue Sicherheitsgruppe zu erstellen, navigieren Sie zum Ordner Gruppen auf der rechten Seite. Klicken Sie mit der rechten Maustaste auf den weißen Bereich und wählen Sie Neue Gruppe.

Freigabeberechtigungen und NTFS-Berechtigungen
In Windows gibt es zwei Arten von Datei- und Ordnerberechtigungen. Da sind zunächst die Freigabeberechtigungen. Zweitens gibt es NTFS-Berechtigungen, die auch als Sicherheitsberechtigungen bezeichnet werden. Das Sichern freigegebener Ordner erfolgt normalerweise mit einer Kombination aus Freigabe- und NTFS-Berechtigungen. Da dies der Fall ist, ist zu beachten, dass immer die restriktivste Berechtigung gilt. Wenn die Freigabeberechtigung beispielsweise dem Sicherheitsprinzip «Jeder» die Leseberechtigung erteilt, die NTFS-Berechtigung es Benutzern jedoch ermöglicht, Änderungen an der Datei vorzunehmen, hat die Freigabeberechtigung Vorrang und die Benutzer dürfen keine Änderungen vornehmen. Wenn Sie die Berechtigungen festlegen, steuert die LSASS (Local Security Authority) den Zugriff auf die Ressource. Wenn Sie sich anmelden, erhalten Sie ein Zugriffstoken mit Ihrer SID darauf. Wenn Sie auf die Ressource zugreifen, vergleicht LSASS die SID, die Sie der ACL (Access Control List) hinzugefügt haben. Wenn sich die SID in der ACL befindet, bestimmt sie, ob der Zugriff zugelassen oder verweigert wird. Unabhängig davon, welche Berechtigungen Sie verwenden, gibt es Unterschiede. Sehen wir uns also an, wann wir welche verwenden sollten.
Freigabeberechtigungen:
- Gilt nur für Benutzer, die über das Netzwerk auf die Ressource zugreifen. Sie gelten nicht, wenn Sie sich lokal anmelden, beispielsweise über Terminaldienste.
- Sie gilt für alle Dateien und Ordner in der freigegebenen Ressource. Wenn Sie ein detaillierteres Einschränkungsschema bereitstellen möchten, sollten Sie zusätzlich zu den gemeinsamen Berechtigungen die NTFS-Berechtigung verwenden
- Wenn Sie über FAT- oder FAT32-formatierte Volumes verfügen, ist dies die einzige Form der Einschränkung, die Ihnen zur Verfügung steht, da NTFS-Berechtigungen für diese Dateisysteme nicht verfügbar sind.
NTFS-Berechtigungen:
- Die einzige Einschränkung bei NTFS-Berechtigungen besteht darin, dass sie nur auf einem Volume festgelegt werden können, das für das NTFS-Dateisystem formatiert ist
- Denken Sie daran, dass NTFS-Berechtigungen kumulativ sind. Das bedeutet, dass die effektiven Berechtigungen eines Benutzers das Ergebnis der Kombination der dem Benutzer zugewiesenen Berechtigungen und der Berechtigungen aller Gruppen sind, denen der Benutzer angehört.
Die neuen Freigabeberechtigungen
Windows 7 hat eine neue „einfache“ Freigabetechnik mitgekauft. Die Optionen wurden von Lesen, Ändern und Vollzugriff auf Lesen und Lesen/Schreiben geändert. Die Idee war Teil der gesamten Homegroup-Mentalität und macht es einfach, einen Ordner für Leute ohne Computerkenntnisse zu teilen. Dies geschieht über das Kontextmenü und lässt sich problemlos mit Ihrer Heimnetzgruppe teilen.

Wenn Sie mit jemandem teilen möchten, der nicht in der Stammgruppe ist, können Sie jederzeit die Option «Bestimmte Personen …» auswählen. Dies würde einen „aufwändigeren“ Dialog öffnen, in dem Sie einen Benutzer oder eine Gruppe angeben könnten.

Es gibt, wie bereits erwähnt, nur zwei Berechtigungen. Zusammen bieten sie einen Alles-oder-Nichts-Schutz für Ihre Ordner und Dateien.
- Lesen Berechtigung ist die Option «Ansehen, nicht berühren». Empfänger können eine Datei öffnen, aber nicht ändern oder löschen.
- Lesen Schreiben ist die Option «Alles tun». Empfänger können eine Datei öffnen, ändern oder löschen.
Die Old-School-Erlaubnis
Der alte Freigabedialog hatte mehr Optionen, beispielsweise die Option, den Ordner unter einem anderen Alias freizugeben. Dadurch konnten wir die Anzahl gleichzeitiger Verbindungen begrenzen und das Caching konfigurieren. Keine dieser Funktionen geht in Windows 7 verloren, sondern ist unter einer Option namens „Erweiterte Freigabe“ versteckt. Wenn Sie mit der rechten Maustaste auf einen Ordner klicken und zu seinen Eigenschaften gehen, finden Sie diese „Erweiterte Freigabe“-Einstellungen auf der Registerkarte Freigabe.

Wenn Sie auf die Schaltfläche „Erweiterte Freigabe“ klicken, die lokale Administrator-Anmeldeinformationen erfordert, können Sie alle Einstellungen konfigurieren, die Sie in früheren Versionen von Windows kennen.

Wenn Sie auf die Schaltfläche «Berechtigungen» klicken, werden Ihnen die 3 Einstellungen angezeigt, mit denen wir alle vertraut sind.

- Lesen Mit der Berechtigung können Sie Dateien und Unterverzeichnisse anzeigen und öffnen sowie Anwendungen ausführen. Es lässt jedoch keine Änderungen zu.
- Ändern Erlaubnis erlaubt dir alles zu tun, was Lesen Berechtigung erlaubt, und es fügt auch die Möglichkeit hinzu, Dateien und Unterverzeichnisse hinzuzufügen, Unterordner zu löschen und Daten in den Dateien zu ändern.
- Volle Kontrolle ist die «Alles tun» der klassischen Berechtigungen, da Sie alle vorherigen Berechtigungen ausführen können. Darüber hinaus erhalten Sie die erweiterte Änderung der NTFS-Berechtigung, die jedoch nur für NTFS-Ordner gilt.
NTFS-Berechtigungen
NTFS-Berechtigungen ermöglichen eine sehr granulare Kontrolle über Ihre Dateien und Ordner. Abgesehen davon kann die Granularität für einen Neuling entmutigend sein. Sie können die NTFS-Berechtigung auch pro Datei sowie pro Ordner festlegen. Um die NTFS-Berechtigung für eine Datei festzulegen, sollten Sie mit der rechten Maustaste klicken und zu den Eigenschaften der Datei gehen und dann zur Registerkarte Sicherheit gehen.

Um die NTFS-Berechtigungen für einen Benutzer oder eine Gruppe zu bearbeiten, klicken Sie auf die Schaltfläche Bearbeiten.

Wie Sie vielleicht sehen, gibt es viele NTFS-Berechtigungen, also lassen Sie uns sie aufschlüsseln. Zuerst schauen wir uns die NTFS-Berechtigungen an, die Sie für eine Datei festlegen können.
- Volle Kontrolle ermöglicht es Ihnen, die Datei zu lesen, zu schreiben, zu ändern, auszuführen, Attribute und Berechtigungen zu ändern und den Besitz der Datei zu übernehmen.
- Ändern ermöglicht Ihnen das Lesen, Schreiben, Ändern, Ausführen und Ändern der Dateiattribute.
- Lesen & ausführen ermöglicht es Ihnen, die Daten, Attribute, Besitzer und Berechtigungen der Datei anzuzeigen und die Datei auszuführen, wenn es sich um ein Programm handelt.
- Lesen ermöglicht es Ihnen, die Datei zu öffnen, ihre Attribute, Besitzer und Berechtigungen anzuzeigen.
- Schreiben ermöglicht es Ihnen, Daten in die Datei zu schreiben, an die Datei anzuhängen und ihre Attribute zu lesen oder zu ändern.
NTFS-Berechtigungen für Ordner haben etwas andere Optionen, also werfen wir einen Blick darauf.

- Volle Kontrolle ermöglicht es Ihnen, Dateien im Ordner zu lesen, zu schreiben, zu ändern und auszuführen, Attribute und Berechtigungen zu ändern und den Besitz des Ordners oder der darin enthaltenen Dateien zu übernehmen.
- Ändern ermöglicht es Ihnen, Dateien im Ordner zu lesen, zu schreiben, zu ändern und auszuführen sowie Attribute des Ordners oder der darin enthaltenen Dateien zu ändern.
- Lesen & ausführen ermöglicht es Ihnen, den Inhalt des Ordners anzuzeigen und die Daten, Attribute, Besitzer und Berechtigungen für Dateien innerhalb des Ordners anzuzeigen und Dateien innerhalb des Ordners auszuführen.
- Ordnerinhalt auflisten ermöglicht es Ihnen, den Inhalt des Ordners anzuzeigen und die Daten, Attribute, Besitzer und Berechtigungen für Dateien innerhalb des Ordners anzuzeigen und Dateien innerhalb des Ordners auszuführen
- Lesen ermöglicht es Ihnen, die Daten, Attribute, Besitzer und Berechtigungen der Datei anzuzeigen.
- Schreiben ermöglicht es Ihnen, Daten in die Datei zu schreiben, an die Datei anzuhängen und ihre Attribute zu lesen oder zu ändern.
Zusammenfassung
Zusammenfassend sind Benutzernamen und Gruppen Darstellungen einer alphanumerischen Zeichenfolge, die als SID (Security Identifier) bezeichnet wird. Freigabe- und NTFS-Berechtigungen sind an diese SIDs gebunden. Freigabeberechtigungen werden von LSSAS nur beim Zugriff über das Netzwerk überprüft, während NTFS-Berechtigungen mit Freigabeberechtigungen kombiniert werden, um eine genauere Sicherheit für Ressourcen zu ermöglichen, auf die sowohl über das Netzwerk als auch lokal zugegriffen wird.
Auf eine freigegebene Ressource zugreifen
Nachdem wir nun die beiden Methoden kennengelernt haben, mit denen wir Inhalte auf unseren PCs teilen können, wie gehen Sie nun vor, um über das Netzwerk darauf zuzugreifen? Es ist sehr einfach. Geben Sie einfach Folgendes in die Navigationsleiste ein.
ComputernameFreigabename

Dies ist großartig für einmalige Verbindungen, aber wie sieht es in einer größeren Unternehmensumgebung aus? Sicherlich müssen Sie Ihren Benutzern nicht beibringen, wie sie mit dieser Methode eine Verbindung zu einer Netzwerkressource herstellen. Um dies zu umgehen, sollten Sie jedem Benutzer ein Netzlaufwerk zuordnen. Auf diese Weise können Sie ihm empfehlen, seine Dokumente auf dem Laufwerk „H“ zu speichern, anstatt zu erklären, wie eine Verbindung zu einer Freigabe hergestellt wird. Um ein Laufwerk zuzuordnen, öffnen Sie Computer und klicken Sie auf die Schaltfläche „Netzlaufwerk zuordnen“.

Geben Sie dann einfach den UNC-Pfad der Freigabe ein.

Sie fragen sich wahrscheinlich, ob Sie das auf jedem PC tun müssen, und zum Glück lautet die Antwort nein. Stattdessen können Sie ein Batch-Skript schreiben, um die Laufwerke für Ihre Benutzer bei der Anmeldung automatisch zuzuordnen und es über Gruppenrichtlinien bereitzustellen.

Wenn wir den Befehl zerlegen:
- Wir verwenden die Nettonutzung Befehl zum Zuordnen des Laufwerks.
- Wir benutzen das * um anzuzeigen, dass wir den nächsten verfügbaren Laufwerksbuchstaben verwenden möchten.
- Endlich haben wir den Anteil angeben wir wollen das Laufwerk zuordnen. Beachten Sie, dass wir Anführungszeichen verwendet haben, da der UNC-Pfad Leerzeichen enthält.

Verschlüsseln von Dateien mit dem verschlüsselnden Dateisystem
Windows bietet die Möglichkeit, Dateien auf einem NTFS-Volume zu verschlüsseln. Dies bedeutet, dass nur Sie die Dateien entschlüsseln und anzeigen können. Um eine Datei zu verschlüsseln, klicken Sie einfach mit der rechten Maustaste darauf und wählen Sie Eigenschaften aus dem Kontextmenü.

Klicken Sie dann auf Erweitert.

Aktivieren Sie nun das Kontrollkästchen Inhalte verschlüsseln, um Daten zu sichern, und klicken Sie dann auf OK.

Fahren Sie nun fort und wenden Sie die Einstellungen an.

Wir müssen nur die Datei verschlüsseln, aber Sie haben die Möglichkeit, auch den übergeordneten Ordner zu verschlüsseln.

Beachten Sie, dass die Datei nach der Verschlüsselung grün wird.

Sie werden nun feststellen, dass nur Sie die Datei öffnen können und andere Benutzer auf demselben PC nicht. Das Verschlüsselungsverfahren verwendet Verschlüsselung mit öffentlichem Schlüssel, also bewahren Sie Ihre Verschlüsselungsschlüssel sicher auf. Wenn Sie sie verlieren, ist Ihre Datei weg und es gibt keine Möglichkeit, sie wiederherzustellen.
Hausaufgaben
- Erfahren Sie mehr über die Vererbung von Berechtigungen und effektive Berechtigungen.
- Lesen Dies Microsoft-Dokument.
- Erfahren Sie, warum Sie BranchCache verwenden möchten.
- Erfahren Sie, wie Sie Drucker freigeben und warum Sie dies tun möchten.