Effektive Berechtigungen verstehen

Wie entstehen effektive Berechtigungen? Welche Faktoren werden in Docusnap365 berücksichtigt – und welche nicht?

  2 Minuten Lesezeit  

Einführung

In komplexen IT-Umgebungen reicht es nicht aus zu wissen, welche Rechte direkt vergeben oder geerbt wurden – entscheidend ist, was am Ende wirksam ist. Docusnap365 ermittelt die effektiven Berechtigungen eines Benutzers, indem alle relevanten Einflussfaktoren zusammengeführt und ausgewertet werden.

Was sind effektive Berechtigungen?

Die effektiven Berechtigungen eines Benutzers oder einer Gruppe ergeben sich aus der Kombination mehrerer Ebenen:

  1. Freigabeberechtigungen

    • Steuern den Zugriff auf Netzwerkfreigaben (\\server\share)
    • Wirken wie ein Limit: Ein NTFS-Vollzugriff greift nicht, wenn die Freigabe nur „Lesen“ erlaubt

  2. NTFS-Berechtigungen

    • Direkt gesetzte (explizite) Rechte auf einem Ordner oder einer Datei
    • Geerbte Rechte von übergeordneten Objekten

  3. Gruppenzugehörigkeiten

    • Direkte und verschachtelte Gruppenmitgliedschaften werden vollständig aufgelöst
    • Inklusive Foreign Security Principals, sofern auflösbar

  4. Vererbungskontext

    • Ob und wie Berechtigungen weitergegeben oder durchbrochen werden
    • Kombination mit vererbbaren Rechten (z. B. „Nur dieser Ordner“, „Ordner, Unterordner und Dateien“)

Docusnap365 wertet alle diese Ebenen aus und berechnet daraus die tatsächliche Wirkung – pro Prinzipal und Verzeichnisebene.

Was wird berücksichtigt?

In der Berechnung enthalten:

  • NTFS-ACLs inkl. explizit und geerbt
  • Gruppen und verschachtelte Gruppen
  • Vererbungsinformationen (auch deaktivierte Vererbung)
  • Freigaberechte
  • Aufgelöste SIDs (inkl. Foreign Security Principals, wenn AD-Daten verfügbar)
  • Gültigkeit von Benutzern (z. B. deaktivierte Konten)

Beispiel: Unterschiedliche Herkunft, gleiche Wirkung

Ein Benutzer kann über mehrere Wege die gleichen effektiven Rechte erhalten:

  • Direktes NTFS-Recht („Ändern“) auf einem Ordner
  • Gruppenzugehörigkeit in einer AD-Gruppe, die „Ändern“ erbt
  • Kombination aus „Lesen“ per NTFS + „Schreiben“ per Freigabe

Docusnap365 berechnet aus diesen Pfaden das effektive Gesamtrecht und stellt es tabellarisch dar – aktuell ohne die konkrete Rückverfolgung, woher das Recht im Detail stammt.

Hinweis: Die detaillierte Berechtigungsherkunft – also die exakte Quelle eines einzelnen Rechts – wird in einem späteren Release ergänzt. Dann wird ersichtlich, ob ein Recht z. B. aus einer AD-Gruppe, einer Vererbung oder einem expliziten ACL-Eintrag stammt.

Ziel ist nicht nur die Darstellung des aktuellen Zustands – sondern perspektivisch auch die transparente Rückverfolgung, wie und von wo ein bestimmtes Recht zustande kommt.