«

»

NTFS Listberechtigungen optimal aufbauen

In der Regel werden Zugriffsrechte auf NTFS-Fileservern tiefer als bis zur 1. Verzeichnisebene vergeben. Sobald das aber der Fall ist, muss man dafür sorgen, dass der User auch durch das Filesystem zum entsprechenden Verzeichnis browsen kann. In diesem Artikel beschreibe ich die verschiedenen Möglichkeiten und deren Auswirkungen.

Listberechtigungen – der technische Aufbau

Die Vergabe der Listberechtigungen sollte nach bestimmten Richtlinien erfolgen. Zum einen gilt hier die Regel, dass Berechtigungen nur über Gruppen vergeben werden, niemals direkt (siehe: Direktberechtigungen). Außerdem sollte die Wirksamkeit der Berechtigung auf den entsprechenden Ordner beschränkt werden. Das wird durch die Einstellung “Nur diesen Ordner” bei “Anwenden auf” erreicht:

Berechtigungskonfiguration für NTFS

Diese Konfiguration muss auf jeder Ebene bis zum eigentlichen Berechtigungsendpunkt vorgenommen werden.

Listberechtigungen – für welches Objekt?

Nun kann man variieren, ob man gesonderte Listberechtigungsgruppen erzeugt oder ob man die Berechtigungsgruppen für „Read“ oder „Modify“ von den Berechtigungsendpunkten wiederverwendet.

Am Beispiel vom migRaven:

Listberechtigungen-setzen-mit-migRaven

  • Ebene 0: Es werden keine Listrechte erstellt.
  • 1. bis 4. Ebene: Es werden Listberechtigungsgruppen erzeugt, welche die Berechtigungsgruppen (z.B. für Read und Modify) der Berechtigungsendpunkte aufnehmen.
  • ab der 4. Ebene: Es werden die Berechtigungsgruppen (z.B. für Read und Modify) der Berechtigungsendpunkte wiederverwendet.

Auswirkungen am Beispiel eines Modify Rechtes in der 7. Ebene

Um es vorweg zu nehmen: So tiefe Rechte sind nicht empfehlenswert. Wir sehen in unseren Projekten aber immer wieder Zugriffsrechte dieser Art, häufig bei historisch gewachsenen Rechtestrukturen. Also, was ist nun schlecht oder auch gut am Modify Recht in der 7. Ebene?

  • der Account wird auf einen Schlag in 5 Gruppen Mitglied: eine Gruppe für Modify, 4 Gruppen für List –> Erhöhung der Tokensize
  • das Setzen der Berechtigungen geht auf den Ebenen 1-4 sehr schnell, weil nur Änderungen im AD anfallen (Gruppenmitgliedschaft)
  • das Setzen der Zugriffsrechte ab Ebene 5 dauert, abhängig von der Anzahl der Dateien, sehr lange
  • die Anzahl der ACEs in der ACL in den Ebenen 1-4 ist gering: gut für die gefühlte Performance beim Zugriff; mehr als 20 – 30 sind spürbar
  • die Anzahl der ACEs ab Ebene 5 kann die empfohlene Anzahl überschreiten lassen

Fazit

Es ist wichtig, sich vor dem Aufbau bzw. der Neugestaltung der Listberechtigungen über die genannten Punkte Gedanken zu machen und die einzelnen Auswirkungen gegeneinander abzuwägen. Grundsätzlich empfiehlt es sich, mit flachen Berechtigungsstrukturen zu arbeiten, weil es die Komplexität der Problematik, nicht nur bei der Vergabe von Listberechtigungen, deutlich verringert. Allerdings kann man mit einer Berechtigungsmanagement-Software (z.b. 8MAN Enterprise) auch getrost Wünschen nachkommen, die differenzierte Berechtigungen fordern und damit schnell tiefer als bis zu 3. oder 4. Ebene eines Verzeichnisbaumes gehen.

Sprechen Sie uns an, wenn Sie Fragen zu dem Thema haben!

 

 

Mehr zum Thema:

 

Bitte kommentieren Sie diesen Betrag mit eigenen Erfahrungen/Meinungen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*
= 4 + 4

Wordpress SEO Plugin by SEOPressor