WinCenter Pro: Konzepte und Administration

Kapitel 2.4: Windows NT - Zugriffsrechte auf Dateien und Verzeichnisse

Letzte Änderung: 15.4.98 von B. Tritsch

Zurück zum Index "PC- und MS-Windows-Support"

Zurück zum Inhalt

Die Bereitstellung von Datei-Services und Plattenressourcen ist eine der Hauptaufgaben von Netzwerkservern. Damit die Festplattenkapazität eines Servers für die Anwender nutzbar wird, muß Sie vom Administrator freigegeben werden.

Auch auf einem lokalen NT-Computer ist der Zugriff auf Dateien und Verzeichnisse über die Vergabe von Rechten geregelt.

Grundkonzepte der Zugriffsrechte:

• C2-Sicherheitsstandard
• Benutzer-bezogen
• Vier-Augen-Prinzip
• Berechtigungen definiert und geändert durch Dateimanager
• unterschiedliche Berechtigungen für Verzeichnisse und Dateien

Dateisysteme unter Windows NT

Windows NT ist in der Lage über sein Ein-/Ausgabesystem mehrere Dateisysteme parallel zu verwalten. Hierbei werden die Treiber für die Dateisysteme wie andere Gerätetreiber behandelt. Dies dient zum einen der Abwärtskompatibilität und zum anderen der Integration verschiedener Funktionalitäten.

• FAT - File Allocation Table: DOS Dateisystem und Diskettenformat unter Windows NT. Für Dateinamen wird die 8.3-Konvention verwendet, die 8 Buchstaben vor dem Punkt und 3 Buchstaben nach dem Punkt erlaubt. Groß- und Kleinschreibung spielen keine Rolle. Die maximale Dateigröße beträgt 4 GBytes. Die Wurzel eines FAT-Verzeichnisses kann maximal 512 Einträge beinhalten.
• FAT32: Das erweiterte FAT-Dateisystem von Windows 95 mit Unterstützung von langen Dateinamen und Unterscheidung von Groß- und Kleinschreibung. FAT32 wird nicht von der Version 4, jedoch von der Version 5 von Windows NT unterstützt.
• NTFS - New Technology File System: Dies ist das speziell für Windows NT entwickelte 64-Bit-Dateisystem mit starkem Fokus auf Sicherheit. Die Dateinamen können bis zu 255 Zeichen in 16-Bit-Unicode enthalten, wobei Groß- und Kleinschreibung beibehalten werden. Unicode erlaubt die Verwendung von erweiterten Zeichensätzen, z.B. für chinesische, japanische, griechische oder arabische Zeichen. Die theoretisch maximale Dateigröße beträgt 16 ExaBytes (= 17 Millionen GBytes!).
• CDFS – CD File System: Dateisystem für CDs, das auch lange Dateinamen erlaubt. Es können jedoch auch CDs verwendet werden, die Kompatibel zum CD-Standard ISO9669 sind.
• HPFS - High Performance File System: Das OS/2-Dateisystem wurde bis einschließlich der Windows NT Version 3.51 direkt unterstützt. Ab Windows NT 4.0 müssen die zugehörigen Treiberdateien zusätzlich installiert werden. Die maximal Dateigröße beträgt 4 GBytes.

Lokale Zugriffsrechte

Das NTFS-Dateisystem erlaubt eine umfangreiche Zugriffsverwaltung, die im einzelnen aus den folgenden Zugriffsarten besteht:

• Lesen (R)
• Schreiben (W)
• Ausführen (X)
• Löschen (D)
• Berechtigungen ändern (P)
• Besitz übernehmen (O)

Standard-Berechtigungen für den Verzeichniszugriff:

• Kein Zugriff: (Kein)(Kein)
• Anzeigen: (RX)()
• Lesen: (RX)(RX)
• Hinzufügen: (WX)()
• Hinzufügen und Lesen: (RWX)(RX)
• Ändern: (RWXD)(RWXD)
• Vollzugriff: (Alle)(Alle)

Standard-Berechtigungen für den Dateizugriff

• Kein Zugriff: (Kein)
• Lesen: (RX)
• Ändern: (RWXD)
• Vollzugriff: (Alle)

Die Vergabe von individuellen Berechtigungen ist prinzipiell möglich, zumeist genügen jedoch die Standardberechtigungen, die Windows NT zur Verfügung stellt. Hierbei wird zwischen den Zugriffsarten auf Verzeichnisebene und den Zugriffsarten auf Dateiebene unterschieden.

Spezielle Benutzergruppen sind hierbei folgende:

• ERSTELLER-BESITZER
• INTERAKTIV: Lokal an dem Sytem arbeitender Benutzer
• Jeder: Wird von Windows NT häufig für den Standard-Zugriff verwendet
• NETZWERK: Benutzer, die über das Netzwerk auf das System zugreifen
• SYSTEM: Das Betriebssytem

Auf einem NTFS-Datenträger hat jede Datei und jedes Verzeichnis einen eindeutigen Besitzer. Dieser kann selbständig jederzeit alle vergebenen Berechtigungen für einzelne Benutzer oder Gruppen von Benutzern individuell anpassen.

Freigaben für den Netzwerkzugriff

Das Sharing (Teilen) von Verzeichnisstrukturen funktioniert mit Verzeichnissen auf FAT-, HPFS- und auf NTFS-Partitionen. Für die vollständige Funktionalität insbesondere auf Servern sollte jedoch immer NTFS gewählt werden. Das Einrichten von Freigaben erfolgt in der Regel über den Datei-Manager. Die Shares beinhalten dann folgende Eigenschaften:

• Die Vergabe von Shares ist auf sehr wenige verschiedene Zugriffsarten beschränkt (kein Zugriff, Lesen, Ändern, Vollzugriff)
• Die Vergabe von Shares wirkt sich nur für die Nutzung über das Netzwerk aus und nicht für lokale Benutzer
• Die Freigabe kann explizit einzelnen Benutzern oder Benutzergruppen mit individuellen Zugriffsarten zugeteilt werden
• Standard-Freigaben auf jedem NT-System sind mit Hilfe des $-Zeichens verborgen: ADMIN$ (NT Systemverzeichnis) C$ (Root von Laufwerk C), D$, E$, ...
• Das Freigeben eines Verzeichnisses impliziert automatisch die Freigabe aller Unterverzeichnisse

Die Vergabe von Shares kann über den Benutzer-Manager reglementiert werden und sich möglicherweise nur auf Administratoren beschränken.

Die Freigaben für den Netzwerkzugriff

• erfolgt über den Dateimanager (Explorer bei NT 4.0)
• läßt sich auf jedem NT-Dateisystem einrichten
• Freigabename (max. 12 Zeichen), Pfad, Kommentar
• für die Freigabe von Verzeichnissen benötigt man spezielle Rechte
• Zugriffsberechtigungen für Freigaben sind auf sehr wenige verschiedene Zugriffsarten beschränkt (kein Zugriff, Lesen, Ändern, Vollzugriff)

Zum nächsten Kapitel