Avatar von Christoph Schulze

Windows File Shares einrichten – Best Practice

Um Daten in Unternehmen auszutauschen, werden immer wieder verschiedene File Shares durch die IT erstellt und für die Anwender veröffentlicht.

In dem folgenden Artikel erklären wir die Anlage von File Shares, geben Hinweise welche Besonderheiten zu beachten sind und geben verschiedene Tipps bei der Verwaltung der Dateifreigaben.

Ausgangssituation

Auf einem neuen Volume soll ein neues File Share angelegt werden, welches für verschiedene Benutzer verwendet werden soll. Dafür legen wir uns einen Ordner „Share“ im Stammverzeichnis des neuen Volumens an.

Neu angelegter Ordner, der als File Share verwendet werden soll

Im NTFS Dateisystem werden die NTFS Berechtigungen des Volumes auf den neu angelegten Ordner vererbt. Zu diesem Zeitpunkt ist der Ordner noch nicht freigegeben und hat demzufolge noch keine Freigabeberechtigungen.

Initiale NTFS Berechtigungen des freizugebenden Ordners

Die initialen NTFS Berechtigungen sollten vor der Freigabe des Ordners angepasst und nicht im Ausgangszustand belassen werden. Zudem ist es dringend empfohlen, die Vererbung auf dem freizugebenden Ordner zu unterbrechen (besonders wenn der Ordner später in einem DFS-Namespace veröffentlicht werden soll).

Anpassung der NTFS Berechtigungen

Bevor der Ordner nun freigegeben und in einem DFS-Namespace verlinkt wird, sollten die NTFS Berechtigungen bereinigt werden. Dazu unterbricht man die Vererbung und stellt sicher, dass das BUILT-IN Objekt „ERSTELLER-BESITZER“ entfernt wird. Zusätzlich sollte man beachten, dass die Berechtigung für das Objekt „Benutzer“ nicht auf alle Ordner, Unterordner und Dateien greift. Dadurch wird erreicht, dass die Anwender vorerst nur das neue File Share aufrufen können und nicht ungewollt Berechtigungen auf verschiedenen Unterordner erhalten. Weiterhin sollte man statt des „Benutzer“-Objektes die Gruppe der „Authentifizierten Benutzer“ verwenden.

Freizugebender Ordner mit angepassten NTFS Berechtigungen

Hat man die NTFS Berechtigungen angepasst und korrigiert, kann der Ordner freigegeben und das File Share erstellt werden.

File Shares erstellen und Freigabeberechtigungen einrichten

Auf Windows Servern kann man die File Shares auf verschiedene Wege anlegen. In der Regel nutzen die meisten Administratoren die Erstellung der File Shares direkt über den Windows Explorer.

Erstellung über den Windows Explorer

Um die Freigabe über den Windows Explorer zu erstellen, gehen Sie in die Einstellungen des Ordners.

Aufruf der Erweiterten Freigabeeinstellungen

Setzen Sie ein Häkchen bei „Diesen Ordner freigeben“ und vergeben Sie einen Freigabenamen.

Aus Sicherheitsgründen sollte am Ende des Freigabenamens ein „$“ Zeichen angehangen werden. Dadurch wird die Freigabe versteckt angelegt und ist nicht einfach für jeden Anwender sichtbar.

Freigabe und Benennung des File Shares

Anschließend müssen noch die Freigabeberechtigungen vergeben werden.
Es ist empfohlen für Administratoren die Berechtigung „Vollzugriff“ und für Anwender die Berechtigung „Ändern“ auf Freigabeebene zu vergeben. Auf jeden Fall sollte vermieden werden in den Freigabeberechtigungen das Standardobjekt „Jeder“ zu berechtigen!

Empfohlene Freigabeberechtigungen

Soll sichergestellt werden, dass die Anwender anschließend im File Share nur die Ordner und Unterordner sehen, auf denen sie Berechtigungen haben, muss das Feature „Zugriffsbasierte Aufzählung“ (ABE – Access-based enumeration) aktiviert werden. Die Option zur Aktivierung von ABE finden Sie im Server Manager („Datei- und Speicherdienste“ – „Freigaben“).

Aktivierung von ABE über den Server Manager

Erstellung über die PowerShell

Um die Freigabe über die PowerShell zu erstellen, muss der Ordner bereits vorhanden sein. Ebenfalls sollten die NTFS Berechtigungen initial angepasst werden (siehe „Erstellung über den Windows Explorer“).

Starten Sie anschließend eine PowerShell-Sitzung und setzen Sie den folgenden Befehl ab:

New-SmbShare -Name „Share$“ -Path „E:\Share“ -FullAccess „AD\Domänen-Admins“ -ChangeAccess „NT-AUTORITÄT\Authentifizierte Benutzer“ -FolderEnumerationMode AccessBased

Anlage des File Shares über die PowerShell

Dadurch wurde der zuvor angelegte Ordner freigegeben, die Freigabeberechtigungen wurden vergeben und die Einstellung für ABE wurde ebenfalls aktiviert.

Über die PowerShell gibt es noch weitere Einstellungsmöglichkeiten. So ist es möglich die Freigabe in einem Volume eines Failover-Clusters ausfallsicher zu machen. Dazu hängen Sie einfach an den obigen Befehl den Schalter „-ContinuouslyAvailable $true“ (beachten Sie bitte, dass dieser Schalter nur auf einem Clustervolume funktioniert). Ein weiterer nützlicher Schalter ist „-EncryptData $true“, welcher die SMB-Verschlüsselung aktiviert.

Besonders wenn man mehrere File Shares anlegen muss, empfiehlt sich der Weg über die PowerShell.

Tipps für die Anlage von File Shares

Wenn Sie File Shares anlegen, sollten Sie folgende Hinweise beachten, um Sicherheitslücken zu vermeiden:

  • Verwenden Sie kurze Namen für die Freigabe
  • Legen Sie die Freigabe versteckt an, indem Sie an den Namen ein „$“-Zeichen anhängen
  • Nutzen Sie keinesfalls das „Jeder“-Objekt in den Freigabeberechtigungen
  • Aktivieren Sie die „Zugriffsbasierte Aufzählung“, um nicht berechtigte Ordner für Anwender auszublenden
  • Nutzen Sie zur Erstellung mehrere File Shares die PowerShell um den Zeitaufwand gering zu halten
Avatar von Christoph Schulze

Über den Autor

Ähnliche Artikel

  • Ändern Berechtigungen-Berechtigungsendpunkte in NTFS schützen durch „Ändern Plus“

    Ändern Berechtigungen-Berechtigungsendpunkte in NTFS schützen durch „Ändern Plus“

    In Microsoft Windows Netzwerken können Berechtigungen auf dem File Server entweder über Freigabeberechtigungen oder NTFS Berechtigungen vergeben werden. Auch eine Kombination beider Berechtigungsarten ist möglich. Allerdings werden überwiegend NTFS Berechtigungen genutzt, da sich die Zugriffe damit granularer steuern lassen. Als Berechtigungsstufen für Anwender vergibt man in…

    Zum Artikel

    Avatar von Christoph Schulze
  • Fileserver Migration oder Berechtigungsoptimierung – Best Practice

    Fileserver Migration oder Berechtigungsoptimierung – Best Practice

    Nahezu jedes Unternehmen nutzt Fileserver, um Daten für Mitarbeiter bereitzustellen. Über die Jahre wächst die Menge an Daten kontinuierlich an. Dabei sind auch die Berechtigungen auf die einzelnen Ordnerstrukturen ständig im Wandel. Neue Mitarbeiter werden mit Berechtigungen ausgestattet, im besten Fall werden obsolete Berechtigungen wieder entzogen oder es…

    Zum Artikel

    Avatar von Christoph Schulze
  • Freigabeberechtigungen vs. NTFS-Berechtigungen – Unterschiede im Überblick

    Freigabeberechtigungen vs. NTFS-Berechtigungen – Unterschiede im Überblick

    Möchte man in einem Unternehmen lokale Ressourcen, wie Dateien und Ordner, gemeinsam nutzen, müssen die Zugriffsberechtigungen effizient und einfach gesteuert werden können. Zum Schutz vor unbefugten Zugriffen auf die Unternehmensdaten hat man zwei Möglichkeiten die Berechtigungen zu verwalten: Freigabeberechtigungen und NTFS Berechtigungen. Beide sind…

    Zum Artikel

    Avatar von Christoph Schulze