Windows NT - Einführung für Benutzer
Kapitel 6: Zugriffsrechte für Dateien und Verzeichnisse
Überblick
Letzte Änderung: 22.12.1999 von Oliver Gebhardt
Zurück zum Index "PC-und MS-Windows-Support"
Zurück zum Inhalt
Auf jedem NT-Computer ist der Zugriff auf Dateien und Verzeichnisse
über die Vergabe von Rechten geregelt. Auch hier spielt wieder die
Zugehörigkeit zu unterschiedlichen Benutzergruppen eine große
Rolle, da die Zugriffsrechte anhand der Benutzerkonten vergeben werden.
Lokale Zugriffsrechte
Die Vergabe von individuellen Berechtigungen ist prinzipiell möglich,
zumeist genügen jedoch die Standardberechtigungen, die Windows NT
zur Verfügung stellt. Hierbei wird zwischen den Zugriffsarten auf
Verzeichnisebene und den Zugriffsarten auf Dateiebene unterschieden.
Das NTFS-Dateisystem erlaubt eine umfangreiche Zugriffsverwaltung, die
im einzelnen aus den folgenden Zugriffsarten besteht:
-
Lesen (R) - Read
-
Schreiben (W) - Write
-
Ausführen (X) - Execute
-
Löschen (D) - Delete
-
Berechtigungen ändern (P) - Change Permission
-
Besitz übernehmen (O) - Take Ownership
Standard-Berechtigungen für den Verzeichniszugriff (in Gruppen zusammengefaßt):
-
Kein Zugriff, No Acces: (Kein)(Kein) - Der Benutzer hat keinen Zugriff
auf die Ressource.
-
Anzeigen, List: (RX)() - Der Benutzer kann Verzeichnisse und Dateinamen
ansehen.
-
Lesen, Read: (RX)(RX) - Der Benutzer kann Dateien in Verzeichnissen
lesen und Programme ausführen.
-
Hinzufügen, Add: (WX)() - Der Benutzer kann Dateien zu Verzeichnissen
hinzufügen, kann jedoch nicht den Inhalt des Verzeichnisses lesen
oder verändern.
-
Hinzufügen und Lesen, Add & Read: (RWX)(RX) - Der Benutzer
hat das Recht, Dateien zu lesen und hinzuzufügen.
-
Ändern, Change: (RWXD)(RWXD) - Der Benutzer hat das Recht,
Dateien zu lesen, hinzuzufügen, zu löschen und den Inhalt zu
verändern.
-
Vollzugriff, All: (Alle)(Alle) - Der Benutzer hat sämtliche
Rechte.
Standard-Berechtigungen für den Dateizugriff
-
Kein Zugriff: (Kein)
-
Lesen: (RX)
-
Ändern: (RWXD)
-
Vollzugriff: (Alle)
Spezielle Benutzergruppen sind hierbei folgende:
-
ERSTELLER-BESITZER
-
INTERAKTIV: Lokal an dem System arbeitender Benutzer
-
Jeder: Wird von Windows NT häufig für Standard-Zugriff verwendet
-
NETZWERK: Benutzer, die über das Netzwerk auf das System zugreifen
-
SYSTEM: Das Betriebsystem
Bei Verzeichnissen werden im Gegensatz zu Dateien zwei Berechtigungen verwendet,
z.B. (RX)(RX). Die erste Berechtigung
betrifft den Zugriff auf das Verzeichnis selbst. Die zweite Berechtigung
wird für neu erzeugte Objekte verwendet, d.h. für neue
Verzeichnisse oder Dateien.
Die P- und die O-Attribute haben sehr spezielle Bedeutung für die
Sicherheit eines Systems:
-
Nur ein Benutzer, der das P-Attribut zur Änderung der Berechtigung
für einVerzeichnis oder eine Datei besitzt, kann dieSicherheitseinstellungen
aktiv modifizieren.
-
Nur ein Benutzer, der das O-Attribut zur Änderung des Besitzes hat,
kann ein Verzeichnis oder eine Datei in Besitznehmen.
-
Der Besitzer eines Verzeichnisses oder einer Datei kann sich immer das
P-Attribut zuordnen und damit auch alle anderen Attribute ändern.
-
Ein Administrator hat immer das Recht, Besitzer eines Verzeichnisses oder
einer Datei zu werden. Danach kann sich der Administrator das P-Attribut
geben und dadurch auch alle anderen Attribute aktiv verändern.
Administratoren oder Benutzer, die für ein Verzeichnis oder eine Datei
das O-Attribut besitzen, können dieses Objekt zwar in
Besitz nehmen, sie können es aber nicht aktiv zurückgeben.
Auf einem NTFS-Datenträger hat jede Datei und jedes Verzeichnis
einen eindeutigen Besitzer. Dieser kann selbständig
jederzeit alle vergebenen Berechtigungen für einzelne Benutzer
oder Gruppen von Benutzern individuell anpassen.
So zeigen Sie die Verzeichnisberechtigungen an
-
Klicken sie im Explorer mit der rechten Maustaste
auf das Verzeichnis von dem sie die Informationen erhalten
wollen.
-
Nun klicken sie auf Eigenschaften.
Wählen sie die Registerkarte Sicherheit aus und klicken
sie auf Berechtigungen
Freigaben für den Netzwerkzugriff
Das Freigeben von Verzeichnisstrukturen funktioniert mit Verzeichnissen
auf FAT- und auf NTFS-Partitionen. Für die vollständige Funktionalität,
insbesondere auf Servern sollte jedoch immer NTFS gewählt werden.
Das Einrichten von Freigaben übernimmt der Administrator in der Regel
über den NT-Explorer.
Die Freigaben für den Netzwerkzugriff
-
erfolgt über den NT-Explorer
-
läßt sich auf jedem NT-Dateisystem einrichten
-
Die Vergabe von Shares wirkt sich nur für die Nutzung über das
Netzwerk aus und nicht für lokale Benutzer.
-
Administrative Standard-Freigaben auf jedem NT-System sind mit Hilfe des
$-Zeichens verborgen: ADMIN$ (NT Systemverzeichnis) C$ (die Wurzel des
Laufwerks C), D$, E$, ...
-
Das Freigeben eines Verzeichnisses impliziert automatisch die Freigabe
aller Unterverzeichnisse.
-
Freigabename (max. 80 Zeichen), Pfad, Kommentar
-
für die Freigabe von Verzeichnissen benötigt man spezielle (Administrator-
oder Hauptbenutzer-)Rechte
-
Die Freigabe kann explizit einzelnen Benutzern oder Benutzergruppen mit
individuellen Zugriffsarten zugeteilt werden.
-
Zugriffsberechtigungen für Freigaben sind auf sehr wenige verschiedene
Zugriffsarten beschränkt (kein Zugriff, Lesen, Ändern, Vollzugriff)
Für die Vergabe von Freigabenamen gelten im Grunde die selben Regeln
wie für lange Dateinamen unter Windows NT, jedoch
mit einigen kleinen Ausnahmen. Es können die Zahlen von 0 bis
9, die Buchstaben A bis Z und folgenden Sonderzeichen
verwendet werde: $ % ‘ - _ @ ~ ! ( ) ^ # &
Sechs Zeichen, die für Dateinamen verwendet werden können,
lassen sich jedoch nicht bei Freigabenamen einsetzen: + , ; = [ ].
Leerzeichen sind wiederum erlaubt.
Obwohl Windows NT Freigabenamen mit maximal 80 Zeichen erzeugen kann,
sollten die Namen deutlich kürzer sein. Dies
folgt nicht zuletzt aus der Tatsache, daß Windows 95 nur Freigabenamen
verarbeiten kann, die maximal 12 Zeichen lang sind.
Für DOS und Windows für Workgroups muß sogar die 8.3-Konvention
eingehalten werden.
So gibt man ein Verzeichnis frei
-
Im NT-Explorer auf das freizugebende Verzeichnis mit der rechte Maustaste
klicken
und Freigabe... anklicken
Auf der Registerkarte Freigabe Freigeben als anklicken
und ins Feld Freigabenamen einen Namen eingeben
Auf Berechtigungen... klicken
Die Freigabeberechtigung läßt sich jetzt unter Zugriffsart
für jede Gruppe einzeln ändern
Die Freigaben beinhalten dann folgende Eigenschaften:
-
Die Vergabe von Freigabeberechtigungen ist auf sehr wenige verschiedene
Zugriffsarten beschränkt (kein Zugriff, Lesen, Ändern, Vollzugriff)
-
Die Vergabe von Freigabeberechtigungen wirkt sich nur für die Nutzung
über das Netzwerk aus und nicht für lokale Benutzer
-
Die Freigabe kann explizit einzelnen Benutzern oder Benutzergruppen mit
individuellen Zugriffsarten zugeteilt werden
-
Standard-Freigaben auf jedem NT-System sind mit Hilfe des $-Zeichens verborgen:
ADMIN$ (NT Systemverzeichnis) C$ (Root von Laufwerk C), D$, E$, ...
-
Das Freigeben eines Verzeichnisses impliziert automatisch die Freigabe
aller Unterverzeichnisse
Zum nächsten Kapitel