NTFS rechten
22-09-2010 - Ricardo Monsees
Inleiding
aDit document beschrijft de verschillende NTFS instellingen voor verschillende situaties, met een HOW TO waarin alles over NTFS rechten beschreven word
Momenteel bestaat dit document uit de onderstaande onderdelen met daarop een variatie.
Mis je nog iets dan kan je altijd mailen.
- homefolders
- Userprofiles
- Groeps folders
Momenteel staan de rechten in de tabellen in het Engels dit is gedaan omdat Engels het meest gebruikt word op een server, of dit naar Nederlands omgezet gaat worden is nog niet zeker.
Wat zijn NTFS rechten?
NTFS rechten zijn machtigingen die aan een object gegeven worden, dit kan bijvoorbeeld een document of map zijn. De NTFS rechten gelden voor de gebruikers van dat object.
NTFS rechten worden het meest gebruikt in een cliënt server netwerk maar komen ook in het thuis netwerk voor. Zo maakt Windows standaard gebruik van NTFS rechten om bestanden privé te houden bij meerdere gebruikers.
NTFS rechten zijn dus machtigingen die aan een object zitten deze machtigingen kunnen meerdere eigenschappen hebben. Een machtigingen kan positief of negatief zijn zo kan een gebruiker de recht tot een map ontzegd worden of kan de toegang gelimiteerd worden tot bijvoorbeeld alleen lezen.
How to
In deze HOW TO staat beschreven hoe de rechten ingesteld worden, hoe nieuwe groepen of gebruikers worden toegevoegd en de verschillende instellingen die gemaakt worden.
Rechten wijzigen
Het wijzigen van NTFS rechten gebeurt via “Eigenschapenà Beveiliging” het scherm “eigenschappen voor {mapnaam}” zal tevoorschijn komen.
In dit scherm kunnen simpele machtigingen ingesteld worden.
Voor de machtigingen in dit document gaan we via “geavanceerd” naar het venster “geavanceerde beveiligingsinstellingen voor {mapnaam}” om zo complexere machtigingen in te stellen.
Een belangrijke instelling is de erfenis meer hierover is te vinden in het hoofdstuk (Configureren erfenis)
 |
 |
Via de knop “toevoegen” in het scherm “geavanceerde beveiligingsinstellingen voor {mapnaam}” kunnen gebruikers, computers of groepen toegevoegd worden via het scherm “gebruikers, Computers of Groep selecteren”
Bij het venster “gebruikers, Computers of Groep selecteren” kan de volledige of een gedeelte van de gebruikers, computers of groep ingetypt worden. Door vervolgens op “namen controleren” te drukken word er naar die gebruikers, computers of groepen gezocht.
Door op de knop “Geavanceerd” te drukken opent het zoekscherm, vervolgens is het mogelijk een zoek criterium op te geven of het veld leeg laten en meteen op knop “nu zoeken te drukken”.
Door op de knop “nu zoeken te drukken” gaat de computer zoeken naar het ingevulde criterium of naar alle gebruikers, computers of groepen de computer geeft vervolgens het resultaat in een lijst weer.
Uit deze lijst kan een gebruiker geselecteerd worden door op “OK” te drukken word het scherm “Machtigingsvermelding voor {mapnaam}” geopend hier kan het toepassings gebied (Zie hoofdstuk Toepassingsgebied) en de machtigingen ingesteld worden.
Pas op! met het weigeren van machtigingen meer hierover in het hoofdstuk
(Permissie weigeren).
Permissie weigeren
Het weigeren van een permissie is een gevaarlijke actie, een geweigerde permissie overheerst een toegestane permissie. Let dus goed op op welke groepen, gebruikers of computers dit toegepast word.
Bijvoorbeeld:
|
Gebruiker |
Thijs |
|
|
Groep |
Groep1 |
Groep2 |
NTFS
|
Folder1 |
||
|
Sub1 |
Groep1 {Volledig beheer} |
Groep2 {weigeren} |
|
Sub2 |
Groep1 {Volledig beheer} |
Groep2 {Volledig beheer} |
Thijs behoort tot groep1 en groep2, via groep1 krijgt Thijs volledig beheer op sub1 en sub2 via groep2 word Thijs geweigerd op sub en heeft volledig beheer op sub2.
Omdat groep2 geweigerd word tot sub1 worden de rechten van groep1 verworpen.
Configureren erfenis
Standaard zijn machtigingen toegewezen aan een hoofd folder, de zelfde machtigingen worden verspreid over de subobjecten.
bijvoorbeeld:
|
C:\ |
|
|
Hoofdfolder |
overgenomen van c:\ |
|
Sub1 |
overgenomen van c:\ |
|
Sub2 |
overgenomen van c:\ |
|
Sub3 |
overgenomen van c:\ |
De rechten worden dus verkregen uit de hoogste map in dit geval dus de c:\ omdat wij zelf deze rechten willen instellen word er geen gebruik gemaakt van deze geërfde rechten dit word op de volgende manier gedaan.
Ga naar Properties -> Security -> Advanced.
Klik vervolgens op “Overneembare machtigingen van bovenliggend object aan dit object doorgeven” selecteer in het popup venster kopiëren of verwijderen.
Bij kopiëren blijven alle rechten staan alleen hebben deze dan geen machtiging van bovenaf,
bij verwijderen blijft alleen de administrator als beheerder staan.
Toepassingsgebied
Machtigingen kunnen op verschillende gebieden toegepast worden dit kan handig zijn als er bijvoorbeeld alleen machtigingen op bestanden ingesteld moet worden hieronder een lijst met de verschillende toepassings gebieden.
- Alleen deze map
- Deze map, submappen en bestanden
- Deze map en submappen
- Deze map en bestanden
- Alleen submappen en bestanden
- Alleen submappen
- Alleen bestanden
Groepen
In dit document wordt gebruik gemaakt van de standaard groupen uit de AD en extra groepen,
Dit zijn:
|
{super users} |
Denk hierbij aan Afdelings hoofden of de directie. |
|
{groep} |
Denk hierbij aan een afdeling binnen een bedrijf bijv: inkoop en verkoop. |
Via groepen kunnen de rechten op verschillende levels ingesteld worden, zo is een gebruiker die op het domein is aangemeld een domain user en diezelfde gebruiker kan ook aan een andere groep toegevoegd worden bijvoorbeeld:
Bijvoorbeeld:
|
Gebruiker |
Thijs |
Rudy |
|
Groep |
super user |
groep |
NTFS
|
Folder1 {Domain users} |
||
|
Sub1 |
super users1 {volledig beheer} |
groep1 {alleen lezen} |
|
Sub2 |
super users2 {volledig beheer} |
groep2 {alleen lezen} |
|
Sub3 |
super users3 {volledig beheer} |
groep3 {alleen lezen} |
In dit geval word de groep domain users gebruikt om de sub folders zichtbaar te maken.
De groep {groep} word gebruikt om de gebruikers lees rechten te geven, als laatste krijgen de groep {super users} volledig beheer om zo bestanden te kunnen maken wijzigen en verwijderen.
NTFS permissies
|
Permission |
Description |
|
Traverse Folder/Execute File |
This allows or denies a user to browse through a folder's subfolders and files where he would otherwise not have access. In addition, it allows or denies the user the ability to run programs within that folder. |
|
List Folder/Read Data |
This allows or denies the user to view subfolders and fill names in the parent folder. In addition, it allows or denies the user to view the data within the files in the parent folder or subfolders of that parent. |
|
Read Attributes |
This allows or denies a user to view the standard NTFS attributes of a file or folder. |
|
Read Extended Attributes |
This allows or denies the user to view the extended attributes of a file or folder, which can vary due to the fact that they are defined by the programs themselves. |
|
Create Files/Write Data |
This allows or denies the user the right to create new files in the parent folder. In addition, it allows or denies the user to modify or overwrite existing data in a file. |
|
Create Folders/Append Data |
This allows or denies the user to create new folders in the parent folder. In addition, it allows or denies the user the right to add data to the end of files. This does not include making changes to any existing data within a file. |
|
Write Attributes |
This allows or denies the ability to change the attributes of a files or folder, such as Read-Only and Hidden. |
|
Write Extended Attributes |
This allows or denies a user the ability to change the extended attributes of a file or folder. These attributes are defined by programs and may vary. |
|
Delete Subfolders and Files |
This allows or denies the deleting of files and subfolder within the parent folder. It also true that if this permission is assigned files and subfolders can be deleted even if the Delete special access permission has not been granted. |
|
Delete |
This allows or denies the deleting of files and folders. If the user does not have this permission assigned but does have the Delete Subfolders and Files permission, she can still delete. |
|
Read Permissions |
This allows or denies the user the ability to read the standard NTFS permissions of a file or folder. |
|
Change Permissions |
This allows or denies the user the ability to change the standard NTFS permissions of a files or folder. |
|
Take Ownership |
This allows or denies a user the ability to take ownership of a file or folder. The owner of a file or folder can change the permissions on the files and folders she owns, regardless of any other permission that might be in place. |
|
Synchronize |
This allows or denies different threads to wait on the handle for the file or folder and synchronize with another thread that may signal it. This permission applies to only multithreaded, multiprocessing programs. |
Source: http://www.windowsitlibrary.com/Content/592/2.html
Userprofiles
De NTFS en Share rechten voor een door windows profile aangemaakte userprofile.
Share
|
Domain users (Gebruikersgroep) |
||
|
Permissions |
Allow |
Deny |
|
Full control |
X |
|
NTFS
|
Volume |
|
|
share |
Userprofile |
|
Inherited from |
Not inherited |
|
Administrators (Gebruikersgroep) |
|||
|
Apply To |
This folder, Subfolders and Files |
||
|
Permissions |
Allow |
Deny |
|
|
Full control |
X |
|
|
|
CREATOR OWNER (Gebruikersgroep) |
|||
|
Apply To |
Subfolders and files only |
||
|
Permissions |
Allow |
Deny |
|
|
Full control |
X |
|
|
Homefolders (windows profile)
De instellingen voor de NTFS en Share rechten voor een door windows via profile aangemaakte homefolder.
Share
|
Domain users (Gebruikersgroep) |
||
|
Permissions |
Allow |
Deny |
|
Full control |
X |
|
NTFS
|
Volume |
|
|
share |
HomeFolders |
|
Inherited from |
Not inherited |
|
Administrators (Gebruikersgroep) |
|||
|
Apply To |
This folder, Subfolders and Files |
||
|
Permissions |
Allow |
Deny |
|
|
Full control |
X |
|
|
Homefolders (Script)
De tweede manier om een homefolder aan te maken/toe te wijzen is via een script.
Functionele rechten
Het aanmaken van een homefolder gebeurd door de gebruiker zelf dit gebeurd in de map waar de homefolders komen te staan. Om deze map aan te maken krijgen alle gebruikers uit het domein
Share
|
Domain users (Gebruikersgroep) |
||
|
Permissions |
Allow |
Deny |
|
Full control |
X |
|
NTFS
|
Volume |
|
|
share |
HomeFolders |
|
Inherited from |
Not inherited |
|
Administrators (Gebruikersgroep) |
|||
|
Apply To |
This folder, Subfolders and Files |
||
|
Permissions |
Allow |
Deny |
|
|
Full control |
X |
|
|
|
CREATOR OWNER (Gebruikersgroep) |
|||
|
Apply To |
Subfolders and files only |
||
|
Permissions |
Allow |
Deny |
|
|
Full control |
X |
|
|
|
Change Permissions |
|
|
|
|
Take Ownership |
|
|
|
|
Domain Users (Gebruikersgroep) |
|||
|
Apply To |
This folder only |
||
|
Permissions |
Allow |
Deny |
|
|
Create Folders / Append Data |
X |
|
|
Groeps folders {1}
De instellingen voor de NTFS en Share rechten voor de groepsfolders met read only voor normale gebruikers.
Gebruikers worden naar de groep doorgelinkt en hebben geen toegang tot een andere groep.
In de groeps map hoeft alleen de {group} rechten toegevoegd te worden de rest blijft staan!
Indeling groeps folder:
- Groepsfolder(Share,NTFS)
- Groep (NTFS) {groep}/{super users}
- Groep (NTFS) {groep}/{super users}
- Groep (NTFS) {groep}/{super users}
Toegang:
- Gebruikers (read only)
- Afdelingshoofden (volledig beheerop eigen documenten)
NTFS gebruikers:
- Domain users
- Afdelings hoofden
- Creator owner
Share
|
Domain users (Gebruikersgroep) |
|||
|
Apply To |
This folder, Subfolders and Files |
||
|
Permissions |
Allow |
Deny |
|
|
Full control |
X |
|
|
NTFS
|
Volume |
|
|
share |
Groepsfolder |
|
Inherited from |
Not inherited |
|
Administrators (Gebruikersgroep) |
|||
|
Apply To |
This folder, Subfolders and Files |
||
|
Permissions |
Allow |
Deny |
|
|
Full control |
X |
|
|
|
Domain Users (Gebruikersgroep) |
|||
|
Apply To |
Subfolders and files only |
||
|
Permissions |
Allow |
Deny |
|
|
List Folder / Read Data |
X |
|
|
|
Read Extended Attributes |
X |
|
|
|
Read Permissions |
X |
|
|
|
Change Permissions |
|
|
|
|
Take Ownership |
|
|
|
{super users} (Gebruikersgroep) |
|||
|
Apply To |
Subfolders and Files only |
||
|
Permissions |
Allow |
Deny |
|
|
Create files / Write Data |
X |
|
|
|
Create Folders / Append Data |
X |
|
|
|
Change Permissions |
|
|
|
|
Take Ownership |
|
|
|
|
Creator owner (Gebruikersgroep) |
|||
|
Apply To |
This folder, Subfolders and Files |
||
|
Permissions |
Allow |
Deny |
|
|
Full control |
X |
|
|
|
Change Permissions |
|
|
|
|
Take Ownership |
|
|
|
|
Volume |
|
|
Folder naam |
De Groeps folders |
|
Inherited from |
inherited |
|
groep |
Alleen de onderstaande tabel toevoegen rest laten staan |
|
{Groep} (Read only) (Gebruikersgroep) |
|||
|
Apply To |
This folder, Subfolders and Files |
||
|
Permissions |
Allow |
Deny |
|
|
Read Attributes |
X |
|
|
|
Change Permissions |
|
|
|
|
Take Ownership |
|
|
|
Groeps folders {2}
De instellingen voor de NTFS en Share rechten voor de groepsfolders met read only voor normale gebruikers.
Gebruikers worden naar de groepsfolder doorgelinkt en hebben toegang tot een andere groep.
Indeling groeps folder:
- Groepsfolder(Share,NTFS) {groep}/{super users}
- Groep
- Groep
- Groep
Toegang:
- Gebruikers (read only)
- Afdelingshoofden (volledig beheerop eigen documenten)
NTFS gebruikers:
- Domain users
- Afdelings hoofden
- Creator owner
Share
|
Domain users (Gebruikersgroep) |
|||
|
Apply To |
This folder, Subfolders and Files |
||
|
Permissions |
Allow |
Deny |
|
|
Full control |
X |
|
|
NTFS
|
Volume |
|
|
share |
Groepsfolder |
|
Inherited from |
Not inherited |
|
Administrators (Gebruikersgroep) |
|||
|
Apply To |
This folder, Subfolders and Files |
||
|
Permissions |
Allow |
Deny |
|
|
Full control |
X |
|
|
|
Domain Users (Gebruikersgroep) |
|||
|
Apply To |
This folder, Subfolders and Files |
||
|
Permissions |
Allow |
Deny |
|
|
List Folder / Read Data |
X |
|
|
|
Read Extended Attributes |
X |
|
|
|
Read Permissions |
X |
|
|
|
Change Permissions |
|
|
|
|
Take Ownership |
|
|
|
{super users} (Gebruikersgroep) |
|||
|
Apply To |
This folder, Subfolders and Files |
||
|
Permissions |
Allow |
Deny |
|
|
Create files / Write Data |
X |
|
|
|
Create Folders / Append Data |
X |
|
|
|
Change Permissions |
|
|
|
|
Take Ownership |
|
|
|
|
Creator owner (Gebruikersgroep) |
|||
|
Apply To |
This folder, Subfolders and Files |
||
|
Permissions |
Allow |
Deny |
|
|
Full control |
X |
|
|
|
Change Permissions |
|
|
|
|
Take Ownership |
|
|
|