Effektive Rechte prüfen

So prüfen Sie mit Docusnap365 die effektiven NTFS-Berechtigungen für einzelne Benutzer oder Gruppen.

  3 Minuten Lesezeit  

Einführung

Mit der Funktion „Prinzipal hinzufügen“ können Sie gezielt analysieren, über welche effektiven Zugriffsrechte ein bestimmter Benutzer oder eine Gruppe auf Dateien und Ordner verfügt. Dabei werden automatisch alle relevanten Faktoren berücksichtigt – von Gruppenzugehörigkeiten über Freigabeberechtigungen bis hin zu geerbten und expliziten NTFS-Rechten.

Benutzer zur Analyse hinzufügen

  1. Öffnen Sie eine bestehende Analyse im Segment NTFS-Analyse.
  2. Klicken Sie auf die Schaltfläche „Prinzipal hinzufügen“.
  3. Wählen Sie den gewünschten Benutzer oder die gewünschte Gruppe aus dem Active Directory oder aus lokalen Gruppen.
  4. Nach der Auswahl wird der Benutzer zur Analyse hinzugefügt – die Matrix wird um die effektiven Rechte dieses Prinzipals ergänzt.

Benutzer zur Analyse hinzufügen

Was zeigt die effektive Berechtigung?

Die effektiven Rechte eines Benutzers ergeben sich aus dem Zusammenspiel folgender Ebenen:

  • Freigabeberechtigungen auf der Netzwerkfreigabe
  • Vererbte NTFS-Berechtigungen von übergeordneten Ordnern
  • Direkt gesetzte (explizite) NTFS-Berechtigungen auf dem Zielordner
  • Gruppenmitgliedschaften (auch verschachtelte)
  • Filterbedingungen (wenn aktiv)

Docusnap365 berechnet diese Kombination automatisch und zeigt nur die wirksamen Rechte des ausgewählten Benutzers an.

Effektive Rechte Matrix

Warum das wichtig ist

Diese Analyse ermöglicht eine klare Antwort auf die Frage:

„Hat Benutzer X Zugriff auf Verzeichnis Y – und wenn ja, mit welchen Rechten – und über welchen Weg?“

Dabei wird auch erkannt, ob ein Benutzer über Gruppenzugehörigkeiten oder Vererbungen Rechte erhält, die er individuell nicht haben sollte. Das macht diese Funktion besonders hilfreich für:

  • Audits und Compliance-Überprüfungen
  • DSGVO-Auskunftsersuchen
  • Berechtigungsbereinigungen

Berechtigungsherkunft

Mit der neuen Funktion Berechtigungsherkunft wird nicht nur das effektive Gesamtrecht berechnet, sondern auch transparent dargestellt, wie dieses Recht zustande kommt.

Docusnap365 verfolgt dabei die gesamte Kette zurück:

  • Benutzer → Gruppenmitgliedschaften (z. B. Domänen- oder AD-Gruppen)
  • Gruppen → Verzeichnisse/ACLs
  • Vererbungen und explizite Einträge auf Ordner- und Dateiebene
  • Blockierte oder aktive Vererbung

Die Berechtigungswege werden dabei visuell nachvollziehbar gemacht. So sehen Sie auf einen Blick:

  • welche Gruppen einem Benutzer ein Recht verschaffen,
  • welche ACL-Einträge auf welchem Ordner wirken,
  • ob eine Vererbung blockiert oder aktiv ist,
  • und schließlich, wie daraus das effektive Gesamtrecht berechnet wird.

Berechtigungsherkunft Visualisierung

Rekursive Gruppenauflösung

Ein zentrales Element der Berechtigungsanalyse in Docusnap365 ist die vollständige, rekursive Auflösung von Gruppenmitgliedschaften.

Das bedeutet:

  • Verschachtelte Gruppen werden automatisch aufgelöst.
  • Auch indirekte Mitgliedschaften (z. B. Benutzer → Gruppe A → Gruppe B → Berechtigung) werden berücksichtigt.
  • Damit wird sichergestellt, dass alle wirksamen Rechte korrekt ermittelt und angezeigt werden – unabhängig davon, wie komplex die AD-Struktur ist.

Die rekursive Auflösung wird nicht nur tabellarisch, sondern auch grafisch dargestellt. Dadurch erkennen Administrator:innen sofort, über welche Gruppenketten ein Benutzer zu seinen Rechten kommt.

Rekursive Gruppenauflösung

Besonderheiten

  • Gruppen werden rekursiv aufgelöst – verschachtelte Gruppen werden vollständig berücksichtigt.
  • Nur effektive Rechte werden dargestellt – nicht vorhandene, aber theoretisch vererbbare Rechte werden nicht angezeigt.
  • Mehrere Prinzipale können gleichzeitig analysiert und verglichen werden.
  • Neu: Transparente Rückverfolgung einzelner Rechte über ihre gesamte Herkunftskette.