Um Daten in Unternehmen auszutauschen, werden immer wieder verschiedene File Shares durch die IT erstellt und für die Anwender veröffentlicht.
In dem folgenden Artikel erklären wir die Anlage von File Shares, geben Hinweise welche Besonderheiten zu beachten sind und geben verschiedene Tipps bei der Verwaltung der Dateifreigaben.
Ausgangssituation
Auf einem neuen Volume soll ein neues File Share angelegt werden, welches für verschiedene Benutzer verwendet werden soll. Dafür legen wir uns einen Ordner „Share“ im Stammverzeichnis des neuen Volumens an.
Im NTFS Dateisystem werden die NTFS Berechtigungen des Volumes auf den neu angelegten Ordner vererbt. Zu diesem Zeitpunkt ist der Ordner noch nicht freigegeben und hat demzufolge noch keine Freigabeberechtigungen.
MERKE: Die initialen NTFS Berechtigungen sollten vor der Freigabe des Ordners angepasst und nicht im Ausgangszustand belassen werden. Zudem ist es dringend empfohlen, die Vererbung auf dem freizugebenden Ordner zu unterbrechen (besonders wenn der Ordner später in einem DFS-Namespace veröffentlicht werden soll).
Laden Sie unser Whitepaper herunter!
Vertiefen Sie Ihr Wissen mit unserem Whitepaper zum Thema NTFS Best Practices.
Anpassung der NTFS Berechtigungen
Bevor der Ordner nun freigegeben und in einem DFS-Namespace verlinkt wird, sollten die NTFS Berechtigungen bereinigt werden. Dazu unterbricht man die Vererbung und stellt sicher, dass das BUILT-IN Objekt „ERSTELLER-BESITZER“ entfernt wird. Zusätzlich sollte man beachten, dass die Berechtigung für das Objekt „Benutzer“ nicht auf alle Ordner, Unterordner und Dateien greift. Dadurch wird erreicht, dass die Anwender vorerst nur das neue File Share aufrufen können und nicht ungewollt Berechtigungen auf verschiedenen Unterordner erhalten. Weiterhin sollte man statt des „Benutzer“-Objektes die Gruppe der „Authentifizierten Benutzer“ verwenden.
Hat man die NTFS Berechtigungen angepasst und korrigiert, kann der Ordner freigegeben und das File Share erstellt werden.
File Shares erstellen und Freigabeberechtigungen einrichten
Auf Windows Servern kann man die File Shares auf verschiedene Wege anlegen. In der Regel nutzen die meisten Administratoren die Erstellung der File Shares direkt über den Windows Explorer.
Erstellung über den Windows Explorer
Um die Freigabe über den Windows Explorer zu erstellen, gehen Sie in die Einstellungen des Ordners.
Setzen Sie ein Häkchen bei „Diesen Ordner freigeben“ und vergeben Sie einen Freigabenamen.
MERKE: Aus Sicherheitsgründen sollte am Ende des Freigabenamens ein „$“ Zeichen angehangen werden. Dadurch wird die Freigabe versteckt angelegt und ist nicht einfach für jeden Anwender sichtbar.
Anschließend müssen noch die Freigabeberechtigungen vergeben werden.
Es ist empfohlen für Administratoren die Berechtigung „Vollzugriff“ und für Anwender die Berechtigung „Ändern“ auf Freigabeebene zu vergeben. Auf jeden Fall sollte vermieden werden in den Freigabeberechtigungen das Standardobjekt „Jeder“ zu berechtigen!
Soll sichergestellt werden, dass die Anwender anschließend im File Share nur die Ordner und Unterordner sehen, auf denen sie Berechtigungen haben, muss das Feature „Zugriffsbasierte Aufzählung“ (ABE – Access-based enumeration) aktiviert werden. Die Option zur Aktivierung von ABE finden Sie im Server Manager („Datei- und Speicherdienste“ – „Freigaben“).
Suchen Sie eine professionelle Beratung?
Benötigen Sie Unterstützung bei der Optimierung Ihrer File Server? Sprechen Sie uns gerne an!
Erstellung über die PowerShell
Um die Freigabe über die PowerShell zu erstellen, muss der Ordner bereits vorhanden sein. Ebenfalls sollten die NTFS Berechtigungen initial angepasst werden (siehe „Erstellung über den Windows Explorer“).
Starten Sie anschließend eine PowerShell-Sitzung und setzen Sie den folgenden Befehl ab:
New-SmbShare -Name „Share$“ -Path „E:\Share“ -FullAccess „AD\Domänen-Admins“ -ChangeAccess „NT-AUTORITÄT\Authentifizierte Benutzer“ -FolderEnumerationMode AccessBased
Dadurch wurde der zuvor angelegte Ordner freigegeben, die Freigabeberechtigungen wurden vergeben und die Einstellung für ABE wurde ebenfalls aktiviert.
Über die PowerShell gibt es noch weitere Einstellungsmöglichkeiten. So ist es möglich die Freigabe in einem Volume eines Failover-Clusters ausfallsicher zu machen. Dazu hängen Sie einfach an den obigen Befehl den Schalter „-ContinuouslyAvailable $true“ (beachten Sie bitte, dass dieser Schalter nur auf einem Clustervolume funktioniert). Ein weiterer nützlicher Schalter ist „-EncryptData $true“, welcher die SMB-Verschlüsselung aktiviert.
Besonders wenn man mehrere File Shares anlegen muss, empfiehlt sich der Weg über die PowerShell.
Tipps für die Anlage von File Shares
Wenn Sie File Shares anlegen, sollten Sie folgende Hinweise beachten, um Sicherheitslücken zu vermeiden:
- Verwenden Sie kurze Namen für die Freigabe
- Legen Sie die Freigabe versteckt an, indem Sie an den Namen ein „$“-Zeichen anhängen
- Nutzen Sie keinesfalls das „Jeder“-Objekt in den Freigabeberechtigungen
- Aktivieren Sie die „Zugriffsbasierte Aufzählung“, um nicht berechtigte Ordner für Anwender auszublenden
- Nutzen Sie zur Erstellung mehrere File Shares die PowerShell um den Zeitaufwand gering zu halten