Tool: FolderSecurityViewer überprüft Windows-Freigaben

Heute noch ein kleiner Blog-Beitrag zum Thema NTFS-Zugriffsrechte auf Freigaben in Windows-Domänenumgebungen. Nix für Home-User, sondern eher was für Admins in Firmenumgebungen. Es geht darum, möglichst effizient festzustellen, welche Zugriffsrechte Benutzer bzw. Gruppen auf Freigaben in der Domäne haben.


Anzeige

In Unternehmen werden Dateien meist auf Windows-Freigaben (Windows Shares) abgelegt. Die Verwaltung der Zugriffsrechte für die verschiedenen Benutzern erfolgt über Active Directory Gruppen (via NTFS Permissions auf Verzeichnisse). Aber wie kontrolliere ich als Administrator, welche Rechte ein Nutzer bzw. eine Gruppe nun wirklich hat?

Als Administrator kann man sich natürlich diese Gruppen und deren Mitglieder mit den in Windows enthaltenen Active Directory Tools ansehen und ermitteln, welcher Benutzer denn nun Rechte auf die Verzeichnisse hat. Was ist aber, wenn jetzt wiederum Gruppen als Mitglieder einer Gruppe eingetragen sind, sogenannte nested groups? Oder wenn ein Benutzer über verschiedene Gruppen, jeweils mit unterschiedlichen Berechtigungen, Zugriff auf die Verzeichnisse enthält? Dann wird die Sache schnell unübersichtlich und sehr zeitaufwändig – insbesondere bei großen Domänen oder tiefen Verschachtelungen.

Hier kann das Tool FolderSecurityViewer zum Einsatz kommen. Es handelt sich um einen sogenannten NTFS Permissions Analyzer und NTFS Permissions Reporter. Dieser ermöglicht IT-Administratoren oder IT-Managern die Analyse der effektiven Rechteinhabern von Windows Ordnern. Somit wird schnell klar, welcher Benutzer welches (effektive) NTFS-Recht auf einen bestimmten Ordner hat und welche Active Directory Gruppe hierfür der Auslöser war.

Bei der Analyse wird auch die darunter liegende Ordnerstruktur überprüft um festzustellen, ob es bei tiefer liegenden Verzeichnissen Abweichungen der Rechtevergabe zum ausgehenden Verzeichnis gibt. Damit der Rechteinhaber-Report nicht mit bekannten Rechteinhabern wie Domänen- und Server-Administratoren oder auch Service Accounts für Backups verwässert wird, kann man beliebige Active Directory Gruppen von der Analyse ausschließen. Gleiches trifft auch auf die Built-In Gruppen zu, die in der Konfiguration des Tools bereits ausgeschlossen sind, aber jederzeit wieder hinzugefügt werden können. Des Weiteren können in der Ausgabe der Rechteinhaber bis zu sechs Eigenschaften eines Active Directory Benutzer-Accounts frei wählbar angegeben werden damit der Report aussagekräftiger wird.

Das Tool bietet die Möglichkeit, den unterschiedlichsten NTFS Permissions Sets aussagekräftige Namen zu geben. Dann muss man nicht mit den unübersichtlichen Angaben aus Access Control Type, File System Rights und Inheritance rumschlagen. Ein Beispiel hierfür ist die Vergabe der Dateiberechtigung "This Folder Only" auf höher liegende Ordner, damit der Anwender zumindest die ihm erlaubten tiefer liegenden Ordner sehen kann.

Wer schon mal mit einem selbst in C# oder VB.NET geschriebenen Tool versucht hat die ACL eines Ordners auszulesen, der wird gemerkt haben, dass die notwendigen .NET-Methoden keine Pfadnamen länger als 260 Zeichen unterstützt. Diese Tatsache ist bei diesem Tool bereits berücksichtigt und kann somit mit sehr tiefen Ordnerstrukturen umgehen.

Eine detailliertere Vorstellung des Tools findet sich auf dieser Webseite. Dort lässt sich auch eine Trial kostenfrei herunterladen. Die Vollversion für bis zu 3 Rechner kostet 490 Euro zzgl. 19 % MwSt (Deutschland).


Anzeige

Anmerkung: Ich habe von den Entwicklern (ist als Unternehmen noch ein recht "junges" Team) eine Lizenz erhalten, das Tool aber mangels aufgesetzter Domäne und Active Directory nicht getestet. In Arbeitsgruppen ist die Anwendung nutzlos. Zudem ließ sich die Lizenzdatei hier im Google Chrome nicht abrufen.

Vielleicht ist FolderSecurityViewer aber für den einen oder anderen Admin ganz hilfreich. Ihr könnt ja ein Feedback hinterlassen, ob das Tool was taugt oder nicht und ob es Alternativen gibt.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Netzwerk, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Tool: FolderSecurityViewer überprüft Windows-Freigaben

  1. Pingback: Tool tip: FolderSecurityViewer for Shares | Born's Tech and Windows World

  2. Frank Bell sagt:

    NTFS bietet eine maximale Länge des kompletten Pfadnamens von 32.767 Zeichen. Und zwar seit 1.x.

    Doch selbst der ach so moderne Windows 10-Explorer kann nicht mehr als 256 bis 260 Zeichen verarbeiten.

    Windows 10: Das fortschrittlichste Windows aller Zeiten… :-(

  3. Günter Born sagt:

    Nachtrag: Die Entwickler von FolderSecurityViewer haben sich bei mir gemeldet. Das oben im Artikel angerissene Problem, dass sich die Lizenzdatei nicht im Chrome-Browser abrufen lässt, ist ein Bug, der nun gefixt ist.

  4. Kopfsache sagt:

    Habe das Tool in unserem AD-Firmenumfeld getestet und kann nur sagen: TOP! … man gibt die Pfade der Ordner an und erhält 1 geschätzte Sekunde später sofort alle AD-User die hier berechtigt sind (inkl. AD-Gruppe worüber dieser User berechtigt wurde) und deren Rechte (Schreiben, Lesen, etc.). Des Weiteren erhält man Informationen über "Differences Found". Dies beinhaltet alle Unterordner welche nicht die selben Berechtigungen haben. Mit Klick auf einen solchen Ordner erhält man auch schon wieder 1 Sekunde später dessen Berechtigungen. Alle Strukturen welche man dann so "durchklickt" lassen sich mit 1 Button direkt super schnell nach Excel exportieren in einer toll gelisteten Tabelle mit je 1 Tabellenblatt pro Abfrage

  5. Remo sagt:

    Treesize kann das übrigens auch, dafür nicht so schön grafisch dargestellt

  6. Hallo Remo!
    TreeSize ist nur zur Analyse der Plattenplatzbelegung gedacht. Die selber schreiben ja das über sich: "Verzeichnisgrößen und Speicherfresser schnell erfassen". Und das macht es wirklich gut mit aussagekräftigen Berichten.
    Wir bieten mit dem Folder Report eine abgespeckte Variante. Aber es genügt, um sich eine schnelle Übersicht über die aktuelle Belegung eines Ordners mit seinen Unterordnern zu erzeugen.
    Was TreeSize gar nicht kann, ist die Analyse und Auwertung von NTFS-Berechtigungen. Und dafür ist unser Permission Report gedacht. Ich glaube, das machen wir dann wiederum richtig gut und übersichtlich ;)
    Grüße
    Carsten

  7. Daniel Grams sagt:

    997,- EUR ??? Und keine günstigeren Lizenzen?
    Für ein kleines Unternehmen wie unseres nicht zu bezahlen!

    Gruß
    Daniel

    • Günter Born sagt:

      Nun ja, wenn ihr Domänenumgebungen aufsetzt und betreibt, ist das vermutlich keine One-Man-Show mit 10.000 Euro Jahresumsatz. Von daher verstehe ich den Kommentar nicht so wirklich – es wird ja niemand zu diesem Tool gezwungen. Oder sollte der Post eher Werbung für die Unternehmensseite sein?

Schreibe einen Kommentar zu Kopfsache Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.