MBCDN

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: curl
ntfs

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Vorhergehende Überarbeitung
ntfs [2025/05/14 10:47]
 ntfs [2025/11/27 14:53] (aktuell)
jango
Zeile 1: Zeile 1:
 +NTFS (New Technology File System) ist ein proprietäres Dateisystem von [[Microsoft]] für alle Betriebssysteme der Windows-NT-Reihe (ab 1993).
  
 +<box red>Beim Erstellen von Berechtigungen immer auf das Dropdown "Applies To" beachten und genau planen worauf Berechtigungen angewendet werden sollen!</box>
 +
 +Die effektivsten Berechtigungen eines Users ergeben sich aus der Kombination aller Gruppen- und Benutzerberechtigungen. 
 +
 +<box green>Wenn ein Benutzer Schreibrechte hat aber über eine Gruppenmitgliedschaft Leserechte bekommt, dann darf er trotzdem schreiben. Außer du verbietest es explizit mit einer "Deny" (Verweigern) Regel.</box> 
 +
 +**Eine "Deny" (Verweigern) Regel ist stärker als eine "Allow" (Erlauben) Regel.**
 +
 +{{ntfs-permissions-gui.png}}
 +
 +  * **Enable/Disable Inheritance**: Übernimmt alle **übergeordneten, vererbbaren Berechtigungen** auf den aktuell bearbeiteten Container.
 +  * **Replace all Child Objects...**: Überträgt die Vererbungen (einmalig?) auch auf untergeordnete Container
 +
 +=====Basic Permissions=====
 +
 +^ Permission ^ Meaning for Folders ^ Meaning for Files ^
 +| **Read**              | Permits viewing and listing of files and subfolders                                                         | Permits viewing or accessing of the file’s contents               |
 +| **Write**             | Permits adding of files and subfolders                                                                      | Permits creating files and writing to a file                                         |
 +| **Read & Execute**    | Permits viewing and listing of files and subfolders as well as executing of files; inherited by files and folders | Permits viewing and accessing of the file’s contents as well as executing the file |
 +| **List Folder Contents** | Permits viewing and listing of files and subfolders as well as executing of files; inherited by folders only | N/A                                                               |
 +| **Modify**            | Permits reading and writing of files and subfolders; allows deletion of the folder                           | Permits reading, writing and renaming of the file; allows deletion of the file |
 +| **Full Control**      | Permits reading, writing, changing, and deleting of files and subfolders                                    | Permits reading, writing, changing, and deleting of the file       |
 +
 +
 +=====Extended Permissions=====
 +
 +^Permission^Read^Write^List folder content^Read & Execute^Modify^Full Control^
 +|Traverse folder/Execute File| | |X|X|X|X|
 +|List folder/Read data|X| |X|X|X|X|
 +|Read attributes|X| |X|X|X|X|
 +|Read extended attributes|X| |X|X|X|X|
 +|Create files/Write data| |X| | |X|X|
 +|Create folders/Append data| |X| | |X|X|
 +|Write attributes| |X| | |X|X|
 +|Write extended attributes| |X| | |X|X|
 +|Delete subfolders and files| | | | | |X|
 +|Delete| | | | |X|X|
 +|Read permissions|X| |X|X|X|X|
 +|Change permissions| | | | | |X|
 +|Take ownership| | | | | |X|
 +
 +
 +  * **Traverse Folder / Execute File** - Traverse Folder allows or denies moving through folders to reach other files or folders, even if the user has no permissions for the traversed folders (applies to folders only). Execute File allows or denies running program files (applies to files only).
 +  * **List Folder / Read Data** - List Folder allows or denies viewing file names and subfolder names within the folder (applies to folders only). Read Data allows or denies viewing data in files (applies to files only).
 +  * **Read Attributes** - Allows or denies viewing the attributes of a file or folder, such as read-only and hidden. Attributes are defined by NTFS file system.
 +  * **Read Extended Attributes** - Allows or denies viewing the extended attributes of a file or folder. Extended attributes are defined by programs and may vary by program.
 +  * **Create Files / Write Data** - Create Files allows or denies creating files within the folder (applies to folders only). Write Data allows or denies making changes to the file and overwriting existing content (applies to files only).
 +  * **Create Folders / Append Data** - Create Folders allows or denies creating folders within the folder (applies to folders only). Append Data allows or denies making changes to the end of the file but not changing, deleting, or overwriting existing data (applies to files only).
 +  * **Write Attributes** - Allows or denies changing the attributes of a file or folder, such as read-only or hidden. Attributes are defined by NTFS.
 +  * **Write Extended Attributes** - Allows or denies changing the extended attributes of a file or folder. Extended attributes are defined by programs and may vary by program.
 +  * **Delete Subfolders and Files** - Allows or denies deleting subfolders and files, even if the Delete permission has not been granted on the subfolder or file.
 +  * **Delete** - Allows or denies deleting the file or folder. If you do not have Delete permission on a file or folder, you can still delete it if you have been granted Delete Subfolders and Files on the parent folder.
 +  * **Read Permissions** - Allows or denies reading permissions of the file or folder, such as Full Control, Read, and Write.
 +  * **Change Permissions** - Allows or denies changing permissions of the file or folder, such as Full Control, Read, and Write.
 +  * **Take Ownership** - Allows or denies taking ownership of the file or folder. The owner of a file or folder can always change permissions on it, regardless of any existing permissions that protect the file or folder.
 +
 +=====Share Permissions=====
 +
 +Die effektiven Berechtigungen werden aus SMB (Share) Berechtigungen und NTFS Berechtigungen ermittelt. Dabei **gelten die restriktivsten Berechtigungen**.
 +
 +=====NTFS-Security=====
 +
 +Siehe auch [[NTFSSecurity]]
 +
 +<code powershell>
 +$str = Get-NTFSAccess \\fileserver\gbi\it-security | convertto-json 
 +$obj = $str | convertfrom-json
 +$obj | foreach-object {
 +    $acc = $_.Account.AccountName
 +    $rights = ((Get-NTFSAccess \\fileserver\gbi\it-security -Account $_.Account.AccountName).AccessRights)
 +    Write-output "$($_.FullName);$($acc);$($rights);$($_.IsInherited);$($_.InheritedFrom -replace 'UNC', '\')"
 +}
 +</code>
 +
 +=====Verlinkungen=====
 +
 +====Hardlink====
 +
 +  * Eine Datei an zwei Stellen haben, aber nur einmal Speicher verbrauchen
 +  * Änderungen an der Datei sind überall sofort sichtbar
 +
 +Hardlinks haben besondere Eigenschaften
 +
 +  * Nur für Dateien, nicht für Ordner.
 +  * Nur auf demselben NTFS-Laufwerk/Volume.
 +  * Nicht erkennbar am Inhalt – beide „sehen aus“ wie normale Dateien.
 +  * Löschen: Erst wenn alle Hardlinks gelöscht sind, sind die Daten wirklich weg.
 +
 +<code>
 +# Hardlink erstellen
 +mklink /H C:\Pfad\link.txt C:\Pfad\original.txt
 +
 +# Hardlinks auf eine Datei anzeigen
 +fsutil hardlink list C:\Pfad\original.txt
 +</code>
 +====Softlink (Symbolic Link)====
 +
 +  * Ordner oder Dateien umleiten (auch auf andere Laufwerke)
 +  * Netzwerkziele (UNC) oder relative Links nutzen.
 +  * "Unix-artiges" Verhalten (Dev-Setups, Node, Python, Git-Repos)
 +
 +Besondere Eigenschaften
 +
 +  * Für Dateien und Ordner.
 +  * Kann über Laufwerke und auch zu UNC-Pfaden zeigen.
 +  * Kann "broken" sein (Ziel fehlt) – Link existiert trotzdem.
 +  * Rechte: Auf vielen Systemen braucht man Admin-Rechte oder aktivierten Entwicklermodus (Windows-Einstellung) bzw. passende Richtlinie.
 +
 +<code>
 +# Auf eine Datei
 +mklink C:\Pfad\link.txt C:\Pfad\ziel.txt
 +
 +# Auf einen Ordner
 +mklink /D C:\Pfad\LinkOrdner C:\Pfad\ZielOrdner
 +</code>
 +====Junction Points====
 +
 +  * Einen Ordner transparent umbiegen, meistens lokal
 +  * Häufig genutzt für App-Daten, alte Pfade, große Ordner umziehen
 +
 +Eigenschaften 
 +
 +  * Nur Ordner.
 +  * Ziel ist typischerweise ein lokaler Pfad (kein UNC).
 +  * In der Praxis sehr kompatibel mit Windows-Tools, weil Junctions seit langem genutzt werden.
 +
 +<box green>Irgendwie ist das doch das selbe wie ein Symlink auf einen Ordner?!</box>
 +
 +<code>
 +mklink /J C:\Pfad\LinkOrdner D:\Pfad\ZielOrdner
 +</code>
 +====Mount Points====
 +
 +  * Ein ganzes Volume (Partition/Datenträger) ohne Laufwerksbuchstaben in einen Ordner einhängen
 +  * Klassisch bei Servern, viel Storage, oder wenn Laufwerksbuchstaben ausgehen
 +
 +Statt E:\ nutzt man z. B. C:\Daten\Archiv\ als Einhängepunkt für ein Volume.
 +
 +<code>
 +# Mountpoints anzeigen
 +mountvol
 +
 +# Volume in Ordner mounten
 +mkdir C:\Mount\Archiv
 +mountvol C:\Mount\Archiv \\?\Volume{GUID}\ 
 +
 +# Mount entfernen
 +mountvol C:\Mount\Archiv /D
 +</code>
 +
 +Die GUID eines Volume kann man anzeigen mit
 +<code>
 +# Befehl zeigt am Ende alle GUIDs an
 +mountvol
 +
 +# oder direkt für das C Laufwerk
 +mountvol C: /L
 +</code>
 +=====Links=====
 +
 +  * [[https://www.tenfold-security.com/en/ntfs-permissions-and-share-permissions-whats-the-difference/#:~:text=NTFS%20permissions%20govern%20access%20to,is%20made%20via%20the%20network.|Tenfold NTFS vs Share Permissions]]
 +  * [[https://www.youtube.com/watch?v=Et9Ng7LsmaI|Share permissions vs NTFS permissions]]

Seiten-Werkzeuge

Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-NoDerivatives 4.0 International
CC Attribution-NoDerivatives 4.0 International Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki