Grundlagen der NTFS-Berechtigungen

Einführung in NTFS-Berechtigungen, ihre Bestandteile und wie Docusnap365 diese interpretiert.

  2 Minuten Lesezeit  

Einführung

NTFS-Berechtigungen bilden die sicherheitsrelevante Grundlage für den Zugriff auf Dateien und Ordner in Windows-basierten Systemen. Docusnap365 analysiert und interpretiert diese Strukturen mit dem Ziel, ein vollständiges und nachvollziehbares Bild aller Zugriffsrechte zu liefern – sowohl aus technischer als auch aus organisatorischer Sicht.

Was sind NTFS-ACLs, SIDs und Prinzipale?

  • ACL (Access Control List): Eine Liste von Einträgen, die definiert, welcher Benutzer oder welche Gruppe (Prinzipal) welche Rechte auf ein Objekt besitzt.
  • SID (Security Identifier): Eine eindeutige ID, mit der Windows jeden Benutzer, jede Gruppe und jedes Computerkonto identifiziert – unabhängig vom Anzeigenamen.
  • Prinzipal: Ein sicherheitsrelevantes Objekt wie Benutzer, Gruppe, Dienstkonto oder Computer. In der Analyse steht der Prinzipal im Zentrum jeder Rechtezuweisung.

Jeder ACL-Eintrag (Access Control Entry, ACE) kombiniert einen Prinzipal mit einer definierten Berechtigungsmenge (z. B. Lesen, Schreiben, Vollzugriff).

Vererbung vs. explizit gesetzte Berechtigungen

In NTFS gibt es zwei Arten von Rechtezuweisungen:

  • Explizit gesetzte Berechtigungen: Diese werden direkt auf einem Ordner oder einer Datei definiert. Sie gelten nur dort – sofern keine Vererbung aktiviert ist.
  • Vererbte Berechtigungen: Rechte, die von übergeordneten Ordnern automatisch übernommen werden. Sie vereinfachen die Verwaltung, können aber überschrieben oder unterbrochen werden.

Docusnap365 unterscheidet diese Rechtearten klar – sowohl in der Detailansicht als auch bei der Berechnung der effektiven Rechte.

Freigabe vs. NTFS vs. Effektivrecht

  • Freigabeberechtigungen: Gelten beim Zugriff über Netzwerkfreigaben (z. B. \\server\freigabe). Sie wirken als zusätzliche Zugriffsebene und können NTFS-Rechte begrenzen – aber nie erweitern.
  • NTFS-Berechtigungen: Gelten direkt auf dem Dateisystem (lokal oder über das Netzwerk). Sie sind detaillierter und erlauben eine granulare Rechtevergabe.
  • Effektive Berechtigungen: Die tatsächlich wirksamen Rechte eines Benutzers ergeben sich aus der Kombination von:
    • Freigaberechten
    • NTFS-Berechtigungen (explizit und vererbt)
    • Gruppenmitgliedschaften (inkl. verschachtelter Gruppen)
    • eventuell deaktivierter Vererbung

Docusnap365 berechnet und visualisiert die effektiven Rechte unter Berücksichtigung all dieser Einflussfaktoren – sowohl auf Ordnerebene als auch benutzerspezifisch.