Share- und NTFS-Berechtigungen

Die Standardberechtigungen der Ordner-Freigabe bzw. die Dateisystem-Berechtigungen (NTFS) des DeploymentShares, sind durch die Konfiguration von MDT zu restriktiv (nur Administratoren haben Zugriff) gehalten. Um eine einwandfreie aber doch sichere Umgebung zu gewährleisten, werden sowohl die Freigabeberechtigung als auch die Dateisystem-Berechtigung (NTFS) angepasst.

Freigabeberechtigungen ändern

Zunächst werden die Freigabeberechtigungen (Share Permissions) angepasst - in diesem Beispiel befindet sich der Ordner auf C:\MDTProdLab und ist über Zugriffe vom Netzwerk UNC-konform in der Notation \\MDT01\MDTProdLab$ dargestellt:

• Starten Sie den Windows Explorer (Tastenkombination WINDOWS + E).

• Wechseln Sie auf den Laufwerksbuchstaben, wo das DeploymentShare erstellt wurde (C:\MDTProdLab).

• Markieren Sie es durch klicken auf den Ordner MDTProdLab.

• Rufen Sie das Kontextmenü mit der rechten Maustaste auf und wählen Sie den Punkt Eigenschaften.

• Klicken Sie auf den Tab Freigabe.

• Im Tab Freigabe klicken Sie auf die Schaltfläche Erweiterte Freigabe...

• Im Dialog Erweiterte Freigabe klicken Sie auf die Schaltfläche Berechtigungen.

• Im Dialog Berechtigungen für MDTProdLab$ ersetzen Sie die Freigabe-Berechtigungen durch die folgenden Einstellungen:

Gruppe	Berechtigung
Administratoren	Vollzugriff
Authentifizierte Benutzer	Ändern
Jeder	Lesen

Netzwerk-Freigabe-Einstellungen am Deployment-Server für die Bereitstellungs-Freigabe nach Microsoft Best Practice Quelle: Eigene.

Microsoft hat zwar jahrelang die Meinung vertreten, dass aufgrund der Übersichtlichkeit SMB-Freigaberechte nicht zu verwenden sind, und hier die Gruppe Jeder Vollzugriff bekommen soll, dies hat aber in einem Spezialfall einen Nachteil.

Normale Benutzer (die Gruppe Jeder) sollten nicht Vollzugriff auf Freigaben bekommen, da diese sonst als Besitzer einer Datei oder eines Verzeichnisses (können sie im freigegebenen Ordner selbst erstellen) das Recht bekommen, die NTFS-Berechtigungen zu ändern und damit das SYSTEM und Administratoren aussperren könnten (effektiv funktioniert das unter Windows natürlich nicht, da sich Admins immer die Berechtigungen zurückholen können).

Das kann Probleme mit Datensicherungen entstehen lassen. Um dem NTFS-Vollzugriffsproblem vorzugreifen, sollte man auf der Netzwerk-Freigabe die Berechtigungen laut obiger Tabelle festlegen. Damit gelten für alle (Authentifizierten) Benutzer die NTFS-Berechtigungen, wie ursprünglich auch und trotzdem tritt dieses Problem nicht mehr auf.

Auf der Ebene der NTFS-Berechtigungen sollten also Benutzer, Besitzer, Jeder, etc. immer nur Ändern-Rechte haben. Ausschließlich Administratoren und dem System ist der Vollzugriff zu gewähren (damit Backups problemlos funktionieren)!

Es wäre auch möglich nur der Gruppe Jeder Ändern-und Lesen-Rechte auf Freigabeebene zu vergeben. Das würde auch funktionieren.

Detaillierte Erklärung bitte unbedingt durchlesen siehe hier (Gesamter Artikel ist wichtig. Vor allem die Abschnitte: Empfehlungen zur Berechtigungsvergabe und Die eine Ausnahme).

• Schließen Sie alle geöffneten Dialoge mit klicken auf die Schaltfläche OK und bestätigen Sie alle Änderungen ebenfalls mit OK.

Dateisystemberechtigungen (NTFS) ändern

Nun kann mit der Anpassung der Dateisystemberechtigungen (NTFS) des Ordners MDTProdLab fortgesetzt werden. Im Gegensatz zu den Freigabeberechtigungen erhält – neben System und Administrator-Konto – nur noch das Dienstkonto MDT_BA rekursive Leserechte auf die darin befindlichen Ordner und Dateien. Alle anderen Benutzerkonten haben keinen Zugriff auf die darin befindlichen Daten.

Die Dateisystemberechtigungen (NTFS) wurden um das Dienstkonto MDT_BA für den Deploymentshare-Ordner MDTProdLab ergänzt. Neben System-, und Administrator-Konto soll nur dieses Dienstkonto auf die Ordnerinhalte zugreifen können. Quelle: Deployment Guide - Alexander Scharmer

Damit wird die Freigabeberechtigung, wie im obigen Abschnitt Freigabeberechtigungen ändern angegeben, auf das Notwendigste eingeschränkt - nicht autorisierte Zugriffe daher geblockt.

In einer Eingabeaufforderung mit erhöhten Rechten können Sie mit dem Hilfsprogramm icacls.exe die restriktive Rechteeinstellung, wie in der obigen Abbildung ersichtlich, für das Dienstkonto MDT_BA im Lese- und Ausführen-Modus setzen lassen:

NTFSPermissionsMDTBA.cmd

icacls "C:\MDTProdLab" /grant '"CONTOSO\MDT_BA":(OI)(CI)(RX)'

Microsoft Dokumentation zum Befehl icacls (zeigt an und setzt u.a. NTFS-Berechtigungen) unter: https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/icacls