search_icon 

close_icon

search_icon  

search_icon  

Berechtigungen und Freigaben

Die Berechtigung an Ordnern und Dateien in den Gemeinschaftslaufwerken ist folgendermaßen ausgelegt:

Mitglieder der jeweiligen Abteilung dürfen:

  • Dateien und Unterordner anlegen und darauf Berechtigungen vergeben.
  • Durch das Anlegen eines Objektes wird der Benutzer automatisch zum Ersteller-Besitzer, was ihm Vollzugriff gewährt.

Mitglieder der jeweiligen Abteilung dürfen nicht:

  • Fremde Dateien öffnen bzw. durch fremde Ordner navigieren.
  • Fremde Dateien/Ordner ändern oder löschen.

Sie finden in Ihrem Gemeinschaftslaufwerk einen Ordner Public. Dateien und Unterodner, die in diesem Public-Folder angelegt werden, können von allen Abteilungsmitgliedern gelesen und modifiziert werden, nicht jedoch gelöscht. Es sollten deshalb keine sensiblen Daten darin abgelegt werden.

Wie kann man Berechtigungen auf Dateien/Ordner erteilen?

Das Dateisystem NTFS verfügt über ein wirkungsvolles Instrument zur Vergabe von Berechtigungen. Diese werden in der Datei-Zugriffsliste - der sogenannten Access Control List (ACL) - abgespeichert. NTFS ist für alle gängigen Microsoft-Betriebssysteme  das Standard-Dateisystem.

Um auf die ACL zugreifen bzw. diese ändern zu können, klicken sie mit der rechten Maustaste auf die entsprechende Datei bzw. den Ordner und wählen Sie Eigenschaften. Aktivieren Sie nun den Registereintrag Sicherheit. Sie sehen in der Liste, welche Benutzer und Benutzergruppen Zugriff auf die Datei haben. Einzelne Benutzer sind mit einem einzelnen Kopf-Symbol gekennzeichnet, Benutzergruppen hingegen mit zwei Kopf-Symbolen. Wenn Sie auf einen Eintrag in dieser Liste klicken, dann werden im unteren Fenster die jeweiligen Rechte ersichtlich.

permissions_20070705_102832_4.jpg 

Um einen Benutzer zu der Liste hinzuzufügen, klicken Sie auf den Button Hinzufügen. Es öffnet sich ein Fenster, in welchem die q-Nummer des Benutzers bzw. der Kurzname der  Organisationseinheit, der/die berechtigt werden sollte, eingetragen werden muss. Mit dem Button Namen überprüfen können Sie feststellen, ob das Benutzer- bzw. die Gruppenobjekt im Active Directory vorhanden ist.  Sie brauchen bei langen Gruppennamen nur soviele Buchstaben einzugeben, bis die Eindeutigkeit gegeben ist. Beim Klick auf Namen überprüfen ergänzt das System den Rest automatisch. Bestätigen Sie die Eingabe mit OK.

Es ist natürlich auch möglich, Benutzer und Gruppen aus der Liste wieder zu entfernen. Markieren Sie hierfür das entsprechende Objekt und klicken Sie auf Entfernen.

permissions_20070705_103919_5.jpg

Sie erkennen jetzt, dass das gewählte Objekt zu der Liste hinzugefügt wurde. Standardmäßig werden dabei die Rechte Lesen/Ausführen, Ordnerinhalt auflisten und Lesen vergeben. Sie können jedoch in der unteren Berechtigungsliste Änderungen vornehmen, indem Sie ein Häkchen bei den gewünschten Rechten setzen oder entfernen. Wenn Sie den Button Übernehmen klicken, werden die Rechte für das Benutzer-/Gruppenobjekt aktiviert.

Hinweis: Es ist auch möglich die Einträge in der Berechtigungsliste explizit zu verweigern. Gehen Sie alledings vorsichtig mit diesem Feature um, da eine Verweigerung immer Vorrang vor einem Zulassen hat. Das heisst, wenn ein Benutzer einer Gruppe angehört, die z.B. Leserecht auf eine Datei hat und der Benutzer wird zusätzlich mit seiner q-Kennung in die ACL der Datei eingetragen und das Leserecht ausdrücklich verweigert, dann hat er kein Leserecht mehr auf die Datei. Es ist dabei unerheblich, dass er als Mitglieder der Gruppe eigentlich lesen dürfte.

Die folgende Tabelle erklärt die möglichen Berechtigungen. Dabei ist zu unterscheiden, ob es sich um eine Datei oder um einen Ordner handelt:

NTFS Datei-Berechtigungen
Lesen Erlaubt einem Benutzer od. einer Gruppe eine Datei zu lesen und die Attribute, den Besitzer und die Rechte einzusehen.
Schreiben Erlaubt die Datei zu überschreiben, die Attribute zu ändern und den Besitzer und die Rechte einzusehen.
Lesen/Ausführen Erlaubt ein Programm zu starten und auszuführen. Alle Rechte die unter Lesen beschrieben sind, sind zusätzlich verfügbar.
Ändern Erlaubt eine Datei zu ändern und zu löschen. Dies beinhaltet alle Rechte, die unter Lesen, Schreiben und Lesen/Ausführen beschrieben wurden.
Vollzugriff Erlaubt alle Rechte: Lesen, Schreiben, Lesen/Ausführen. Zusätzlich kann der Benutzer die Besitzrechte übernehmen und die Berechtigungen ändern.

 

 

 

 


 

NTFS Ordner-Berechtigungen
Lesen Erlaubt es, Dateien, Ordner und Unterordner zu sehen. Auch die Attribute, der Besitzer und die Berechtigungen können ermittelt werden.
Schreiben Erlaubt es, neue Dateien und Ordner innerhalb des Ordners anzulegen und die Attribute an Ordnern zu ändern.  Auch der Besitzer und die Rechte können ermittelt werden.
Ordnerinhalt auflisten Erlaubt es, die Dateien und Ordner innerhalb eines Ordners aufzulisten.
Lesen/Ausführen Erlaubt es, durch alle Dateien und Unterordner zu navigieren und erlaubt alle Aktionen, die durch Lesen und Ordnerinhalt auflisten erlaubt sind.
Ändern Erlaubt die Löschung von Ordnern und alle Rechte, die durch Schreiben und Lesen/Ausführen spezifiziert sind.
Vollzugriff Erlaubt die Änderung von Rechten, die Besitzübernahme am Ordner und alle Aktionen, die in allen anderen Rechten inkludiert sind.