![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Heute noch ein kleiner Blog-Beitrag zum Thema NTFS-Zugriffsrechte auf Freigaben in Windows-Dom\u00e4nenumgebungen. Nix f\u00fcr Home-User, sondern eher was f\u00fcr Admins in Firmenumgebungen. Es geht darum, m\u00f6glichst effizient festzustellen, welche Zugriffsrechte Benutzer bzw. Gruppen auf Freigaben in der Dom\u00e4ne haben. <\/p>\n
<\/p>\n
In Unternehmen werden Dateien meist auf Windows-Freigaben (Windows Shares) abgelegt. Die Verwaltung der Zugriffsrechte f\u00fcr die verschiedenen Benutzern erfolgt \u00fcber Active Directory Gruppen (via NTFS Permissions auf Verzeichnisse). Aber wie kontrolliere ich als Administrator, welche Rechte ein Nutzer bzw. eine Gruppe nun wirklich hat?<\/p>\n
Als Administrator kann man sich nat\u00fcrlich diese Gruppen und deren Mitglieder mit den in Windows enthaltenen Active Directory Tools ansehen und ermitteln, welcher Benutzer denn nun Rechte auf die Verzeichnisse hat. Was ist aber, wenn jetzt wiederum Gruppen als Mitglieder einer Gruppe eingetragen sind, sogenannte nested groups? Oder wenn ein Benutzer \u00fcber verschiedene Gruppen, jeweils mit unterschiedlichen Berechtigungen, Zugriff auf die Verzeichnisse enth\u00e4lt? Dann wird die Sache schnell un\u00fcbersichtlich und sehr zeitaufw\u00e4ndig – insbesondere bei gro\u00dfen Dom\u00e4nen oder tiefen Verschachtelungen.<\/p>\n
![](\"https:\/\/web.archive.org\/web\/20171103061518\/http:\/\/q87.imgup.net\/FolderSecu300f.jpg\"\/)
<\/p>\n
Hier kann das Tool FolderSecurityViewer<\/em> zum Einsatz kommen. Es handelt sich um einen sogenannten NTFS Permissions Analyzer und NTFS Permissions Reporter. Dieser erm\u00f6glicht IT-Administratoren oder IT-Managern die Analyse der effektiven Rechteinhabern von Windows Ordnern. Somit wird schnell klar, welcher Benutzer welches (effektive) NTFS-Recht auf einen bestimmten Ordner hat und welche Active Directory Gruppe hierf\u00fcr der Ausl\u00f6ser war. <\/p>\n Bei der Analyse wird auch die darunter liegende Ordnerstruktur \u00fcberpr\u00fcft um festzustellen, ob es bei tiefer liegenden Verzeichnissen Abweichungen der Rechtevergabe zum ausgehenden Verzeichnis gibt. Damit der Rechteinhaber-Report nicht mit bekannten Rechteinhabern wie Dom\u00e4nen- und Server-Administratoren oder auch Service Accounts f\u00fcr Backups verw\u00e4ssert wird, kann man beliebige Active Directory Gruppen von der Analyse ausschlie\u00dfen. Gleiches trifft auch auf die Built-In Gruppen zu, die in der Konfiguration des Tools bereits ausgeschlossen sind, aber jederzeit wieder hinzugef\u00fcgt werden k\u00f6nnen. Des Weiteren k\u00f6nnen in der Ausgabe der Rechteinhaber bis zu sechs Eigenschaften eines Active Directory Benutzer-Accounts frei w\u00e4hlbar angegeben werden damit der Report aussagekr\u00e4ftiger wird. <\/p>\n Das Tool bietet die M\u00f6glichkeit, den unterschiedlichsten NTFS Permissions Sets aussagekr\u00e4ftige Namen zu geben. Dann muss man nicht mit den un\u00fcbersichtlichen Angaben aus Access Control Type, File System Rights und Inheritance rumschlagen. Ein Beispiel hierf\u00fcr ist die Vergabe der Dateiberechtigung \"This Folder Only\" auf h\u00f6her liegende Ordner, damit der Anwender zumindest die ihm erlaubten tiefer liegenden Ordner sehen kann. <\/p>\n Wer schon mal mit einem selbst in C# oder VB.NET geschriebenen Tool versucht hat die ACL eines Ordners auszulesen, der wird gemerkt haben, dass die notwendigen .NET-Methoden keine Pfadnamen l\u00e4nger als 260 Zeichen unterst\u00fctzt. Diese Tatsache ist bei diesem Tool bereits ber\u00fccksichtigt und kann somit mit sehr tiefen Ordnerstrukturen umgehen. <\/p>\n