Wie erstellt man Berechtigungen in Windows 10 – Vergabe von NTFS Berechtigungen für die lokale Sicherheit

So steuert man mit NTFS Rechten den Zugriff auf Ordner und Dateien

Hat man mehrere Ordner, Dateien oder Programme auf dem PC und man möchte nicht, das jeder alles darf, so muss man Berechtigungen vergeben! Aber wie konfiguriert man das? Diese Anleitung beschreibt dabei die Konfiguration der lokalen Berechtigungen.

Was sind die NTFS Berechtigungen

Möchte ich nicht, das jeder in jedem Verzeichnis alles darf, sondern eine Benutzergruppe z.B. nur lesen und die andere nur schreiben, so muss ich Berechtigungen vergeben. Mit einer  NTFS formatierten Festplatte* unter Windows ist dies problemlos möglich.

NTFS steht übrigens für New Technologie File System. Eingeführt wurde das Format als Nachfolger von FAT (File Allocation Table). Das Neueste von Windows eingeführte System heißt übrigens ReFS. Es bietet aber bei den Berechtigungen die gleichen Möglichkeiten wie NTFS.

Wo findet man die NTFS-Berechtigungen

Über einen Rechtsklick auf das Laufwerk oder einen Ordner erhalten wir die Information, ob hier das NTFS Dateiformat vorliegt. Die Berechtigungen können jetzt über den Reiter Sicherheit bearbeitet werden. Standardmäßig stehen hier natürlich schon Einträge drinnen. Im oberen Feld der Benutzer und im darunterliegendem Feld die entsprechenden Berechtigungen.

Über das Feld Bearbeiten kann man jetzt Benutzer  mit den entsprechenden Rechten Hinzufügen oder Entfernen. Über Erweitert gibt es noch wesentlich mehr Möglichkeiten. Hierzu zählt z.B. der Punkt Vererbung oder Besitzer.

Welche verschiedenen NTFS Rechte gibt es

Widmen wir uns zunächst mal den Berechtigungen. Die rechte Lesen und Schreiben sind denke ich selbsterklärend. Wichtig ist der Unterschied zu Ändern und Vollzugriff.

NTFS RechtBeschreibung
ÄndernZusätzlich zu den Möglichkeiten Schreiben und Lesen, Ausführen darf man die Datei ändern und löschen
VollzugriffZusätzlich zu den Möglichkeiten aus allen übrigen Berechtigungen den Besitz übernehmen und Berechtigungen ändern.

Generell sind die Datei- und Ordnerberechtigungen eine Kombination aus 14 einzelnen Berechtigungen. Es ist auch möglich, die Einzelberechtigungen anders zu kombinieren, um evtl. für Sonderfälle spezielle Berechtigungen zu vergeben. Eine ausführliche Erläuterung findet man übrigens in der Windows Hilfe.

Effektive Berechtigung

Die tatsächlichen (effektiven) Berechtigungen eines Benutzers bzw. Gruppe für eine lokale Ressource setzen sich kumulativ aus allen NTFS-Berechtigungen zusammen, welche sich aufgrund seiner Mitgliedschaft in verschiedenen Gruppen ergeben. Der Benutzer bzw. die Gruppe verfügt über die Summe alle NTFS Berechtigungen der Gruppe, deren Mitglied er ist. Daraus folgt, dass im am Ende das am wenigsten einschränkende Recht zur Verfügung steht.

Beispiel:

Max ist in der Gruppe JEDER mit dem Recht “Lesen” und in der Gruppe BENUTZER mit dem Rechte “Ändern”. Er erhält nun lokal das am wenigsten einschränkendere Recht. In diesem Fall wäre es Ändern (beinhaltet lesen).

Übrigens kann man auch Rechte Verweigern. Jedoch muss man wissen, dass Verweigern immer Vorrang hat.

Die NTFS -Rechte können auf Ordner so wie auch auf Dateien angewendet werden. Hierbei haben die Dateirechte Vorrang vor den Ordnerrechten.

Vererbung

Rechte können auch geerbt werden. Das bedeutet, das die Unterordner immer die Berechtigungen des übergeordneten Ordners erhalten. Dies ist standardmäßig so eingestellt. Ob Rechte geerbt wurden, sieht man immer an einem hellgrauen Häkchen bei den Berechtigungseinstellungen. Bei dem folgendem Beispiel wurde auf dem Laufwerk G: ein Ordner1 erstellt. Wenn sich die Berechtigungen es Ordners anzeigen lässt, so sieht man sehr schön, dass alle Rechte von den Berechtigungen des Laufwerks G: geerbt wurden. Falls man die Vererbungen deaktivieren würde, so könnten wir die Rechte für den Ordner1 komplett neu konfigurieren.

Vererbung von NTFS Berechtigungen
Vererbung von NTFS Berechtigungen

Besitzübernahme

Besitzer eines vom Benutzer erstellten Objekts ist zunächst derjenige Benutzer, der es erstellt hat. Nur der Besitzer kann die Berechtigungen verändern uns so auch Administratoren vom Zugriff ausschließen. Ein Administrator kann aber unabhängig von den vorhandenen Berechtigungen den Besitz an einem Objekt übernehmen. Konfiguriert wird das ganze über die Option “Ändern” beim Besitzer.

Fazit:

NTFS Recht bilden ein sehr gute Möglichkeit Zugriffberechtigungen zu erteilen. Gerade im Bereich eines Dateiservers* spielen sie ein sehr große Rolle. Vergessen sollte man nicht, dass die NTFS Rechte nur lokal eine Gültigkeit besitzen. Über das Netzwerk müssen auch noch die Freigabeberechtigungen beachtet werden. Diese werden dann mit den NTFS Rechten kombiniert.

35 Kommentare

  1. Danke Markus, guter Überblick! Hängt mit diesen Berechtigungen auch das Zugriffsrecht per Remote Desktop zusammen? Damit hab ich nämlich zurzeit mit einem Rechner im Heimnetz Probleme!?
    LG Volker

    • Hallo Volker, das kann durchaus sein. Du möchtest also per Remotedesktop auf einen entfernten Rechner zugreifen? Oder? Am besten ist es, wenn du auf jedem PC den gleichen Benutzeraccount hast (Name + Passwort gleich). Falls es dann noch um den Zugriff auf Ordner oder Dateien geht, so könntest du per Rechtsklick und Sicherheit mal die NTFS Berechtungen prüfen, so wie im Artikel hier beschrieben.

  2. Hallo Markus, leider bekomme ich noch immer keinen Remotezugriff auf diesen PC zustande. Ich kann über die Remotedesktopverbindung mit dem PC verbinden, dann sagt er aber, dass mit den Anmeldeinformationen keine Verbindung hergestellt werden kann. Remotezugriff ist aktiviert, BN und PW stimmen definitiv. Der Benutzer ist Admin auf dem PC, der Zugriff ist also eigentlich schon deshalb generell erlaubt.
    Wenn ich das hier so zusammenfasse, glaube ich aber, dass es wohl nichts mit den NTFS-Berechtigungen zu tun hat…
    Ist nicht so brisant, aber ich dachte, dass du evtl. ne schnelle Lösung parat hast.
    Misteriös… 😉

    • Hallo Volker,
      klingt seltsam. Von welchen Rechner zu welchen Rechner möchtest du per Remote zugreifen? Sollte es ein älterer PC sein, so könnte das mit der NTLM Authentifizierung zusammenhängen. Wir hatte das Problem mal mit dem Zugriff von Windows 7 auf Windows 2000. Das wäre mal eine Option. Du findest die entsprechenden Richtlinien in den lokalen Sicherheitsrichtlinien unter dem Menü: Sicherheitseinstellungen-> Lokale Richtlinien -> Sicherheitsoptionen. Generell erreichst du die lokalen Sicherheitsrichtlinien sehr schnell über secpol.exe. Eine andere Optionen wäre evtl. noch, dass du schaust ob der Benutzer in der Gruppen Remotedesktopbenutzer Mitglied ist. Was hast du genau bei den Remotedesktop Einstellungen eingestellt? Findet eine Authentifizierung auf Netzwerkebenen statt? Ich würde jetzt mal bei beiden PC´s einen neuen Benutzer anlegen und prüfen, ob das gleiche Problem noch besteht. Das es mit NTFS zusammenhängt, glaube ich auch nicht, den die würden eigentlich erst greifen, wenn du schon auf dem PC drauf bist. Bin gespannt, ob die Tipps was helfen!

  3. Hallo, guter Artikel,
    aber das war genau wie beschrieben auch schon unter Windows 7 so und war auch nutzbar.
    Neu ist, das mir Windows 10 die Änderung dieser Einstellungen (egal welcher, also auch das Besitzer ändern) komplett verweigert. Wie man aus dieser Falle (ich bin Mitglied von Administratoren und war bis Windows 7 auch Administrator) rauskommt fehlt leider noch in Ihrem Artikel.

    • Hallo,
      ja bei den NTFS Rechten hat sich zu Windows 7 nicht viel geändert. Dein spezieller Fall ist mir so nicht bekannt und auch bei mir noch nicht vorgekommen. Ich werde mir das bei Gelegenheit nochmals genauer ansehen.

  4. Hallo Markus.
    Sehr vielen dank, Sie haben mir sehr geholfen. Ich hatte ein Problem damit Spotify zu verwenden. Ich habe einfach über Spotify im Installationsordner die Sicherheit bearbeitet, so dass Banutzer und Admins Vollzugriff auf Spotify haben. Voher war der aus irgendeinem Grund bei allen verweigert.

    Nochmals vielen Dank.

  5. Ich habe eine Datei auf meinem Rechner, welche, wenn ich sie verschieben, kopieren, öffnen oder sonst wie auf sie zugreifen will, das Fenster aufmacht in dem steht : sie müssen die Brechtigung von Jeder erhalten ._.
    In KEINEM Computerforum in dem ich bis jetzt geschaut habe ist mein Fehler gelöst worden – doch viele haben ihn – kann mir wer helfen?
    LG

    • Wie möchtest du die Datei verschieben? Per grafischer Oberfläche? Oder cmd? Welche NTFS Rechte sind den gesetzt? Ist diese Datei auch im Netzwerk freigegeben?

  6. Als normaler User versuche ich seit Tagen (und Nächten) verzweifelt, die Einbindung eines Laufwerks meiner Strato-Wolke zu realisieren. Was bereits auf 2 Computern mit unterschiedlichen Standorten ohne Probleme gelang, will bei einem dritten Computer mit Windows 10 einfach nicht klappen – immer wenn ich das Laufwerk \\smb.hidrive.strato.com\root einbinden möchte, werde ich nach dem Benutzernamen und dem Kennwort gefragt, und dieses Kennwort wird mit schöner Regelmäßigkeit als “falsch” interpretiert, eben jenes Kennwort, mit dem ich die Einbindung auf den anderen beiden Computern problemlos hinbekommen habe. Woran kann dies bloß liegen. Alle Experten (und solche, die sich dafür halten) haben auf meine Nachfrage schlußendlich ratlos reagiert …

    • Hallo, ein schwierige Frage!
      Geht es nur mit Windows 10 nicht? Was sind die beiden anderen Systeme? Windows 7? Das Problem klingt irgendwie nach einem Authentifizierungsdienst wie NTLM? Läuft auch eine Windows Firewall?

  7. hey, ich hab nen Problem. Und zwar hab ich unter Windows 7 Daten Verschlüsselt. Erinnerungen an Vergangenes und sowas. Da jetzt ne neue SSD in meinen Laptop gekommen ist, hab ich direkt den Umstieg auf Win10 gewagt und meine ganzen Daten per Backup gesichert, ausser das Zertifikat für die Verschlüsselten Dateien.

    Unter Windows 10 hab ich jetzt natürlich keinen Zugriff mehr darauf. Wenn ich eine Verschlüsselte Datei auschneiden und auf die SSD einfügen will kommt die Meldung das ich Berechtigungen von “ich denke das ist die Win7 ID” bekommen muss.

    Ist es möglich mir diese Berechtigungen i-wie zu geben damit ich auf meine Daten zugreifen kann ? Diese liegen mir echt am Herzen und ich möchte diese ungern verlieren.

    Lg und danke im Vorraus.

    • Mit welchem Programm hast du die Daten verschlüsselt? Bitlocker? Verstehe ich das nun richtig, dass du noch deine alte Festplatte mit den verschlüsselten Daten hast? Wie sieht es auch, wenn du die wieder einbaust, deine Daten entschlüsselst und anschließend davon ein Backup machst? Ohne Zertifikat bzw. Schlüssel wird es schwierig deine Daten wieder herzustellen!

    • Hallo, ich habe keine Ahnung. Ich hab rechtsklick auf die Dateien gemacht und dort diese dann Verschlüsselt. Kein separates Programm heruntergeladen oder sonstiges.

      Nein, an die Daten komme ich nicht mehr ran. Ich hatte 2 500gb hdd’s im raid (beide platten als eine) Verbund. Eine der beiden ist jetzt Datenplatte neben der ssd. Beim lösen des RAID wurde alles platt gemacht. Sonst wäre es ja einfach an das Zertifikat zu kommen.

    • Hey,
      also du hast deine Daten nur noch im verschlüsseltem Backup liegen? Wie sieht das Backup aus? Ist das ein File oder sind das mehrer Daten? Wichtig wäre schon, mit welchem Programm du die Daten verschlüsselt hast? Welche Windows 7 Version war das?

  8. Ich hab alles wichtige, Bilder, Dokumente, Musik, Videos, Spiele auf ne externe Platte kopiert, die ssd mit ein 10 fertig gemacht, den raid Verbund der beiden 500gb Platten gelöst und eine Platte als Datenplatte wieder eingebaut (ssd C:) (500gb D:). Die Verschlüsselten Daten (3 Ordner mit Bildern), wollte er dann unter Win 10 nicht mehr von der externen runterkopieren.

    War ne Windows 7 Ultimate. Laut Google. Mit bitlocker

    • Hallo Stefan, du hast also keine komplett verschlüsselte Festplatte, sondern nur 3 Ordner, welche verschlüsselt sind. Bin mir da nicht sicher, ob du die Daten nicht per Ecrypted File System (EFS) verschlüsselt hast. In der Regel verschlüsselt Bitlocker nur komplette Laufwerke. Hast du irgendwo beim verschlüsseln ein Passwort benötigt? Hast du von deinem Windows 7 Ultimate irgendwo ein Backup. Also eine Sicherung des kompletten Systems? Vermutlich wirst du unbedingt das Zertifikat benötigen, sonst wird es nicht gehen. Wie hast du die Daten eigentlich kopieren wollen? Verwende hierfür mal die cmd und das Tool Robocopy. Es kann nämlich auch die NTFS Berechtigungen mitkopieren!

    • Ja, nur die 3 Ordner. Verschlüsselt hab ich die Daten so : Rechtsklick – Eigenschaften – unten auf Erweitert – auf “inhalt Verschlüsseln, um Daten zu schützen” – Ok – Übernehmen – Für Ordner, Unterordner usw ok – Fertig 😀

      Kopiert hab ich ganz normal mit Strg + C bzw X zum Ausschneiden und Strg + V zum einfügen. Mit cmd bin ich nicht so Vertraut, das kann dauern ^^

      Aber danke auf jeden Fall schon einmal ! 🙂

    • Hey, ok ich denke du hast EFS für die Verschlüsselung verwendet. Es gibt bei dieser Art der Verschlüsselung sogenannte Wiederherstellungsagenten. Ich würde damit mal mein Glück versuchen. Das EFS System ist im folgenden Artikel sehr ausführlich erläutert. Fallstricke des EFS unter Windows vermeiden. Schau dir das mal an, evtl. hilft es weiter.
      Ansonsten schöne Ostern!

    • Hey, ja das klingt sehr danach was ich benutzt habe, allerdings ist das ja auf win2000 / winXP bezogen … Macht das keinen Unterschied ? Ich denke mal das ich das mit dem Agent einfach mal versuchen werde, auch wenn ich mich step by step dadurch Arbeiten muss, da ich mit cmd und co nicht sehr Vertraut bin …

      Danke auf jeden Fall nochmal und dir auch schöne Ostern. Falls ich nicht weiter komme meld ich mich nochmal wenn ich darf, ansonsten kommst du nicht zufällig aus Ruhrgebiet Nähe ? xD

    • Hey, hinsichtlich EFS hat sich so viel ich weis nicht sehr viel verändert. Aus dem Ruhrgebiet komme ich nicht! Klar einfach melden, dafür ist auch das Portal gedacht!

  9. Hallo Herr Elsberger,
    ich habe ein Problem, was irgendwie mit Rechten zu tun haben muss. Es passt vielleicht nicht ganz richtig hier her, aber ich habe sonst im Internet keine Anlaufstelle gefunden. Vielleicht können Sie mir helfen.
    Es geht also um folgendes: Ich habe ein kleines Büronetzwerk ohne eigenen Server. Es gibt einen Router, ein NAS und 3 angeschlossene PC, einer davon über eine VPN Verbindung von daheim. Betriebssysteme sind 1x Vista, 1x Win 7 einmal Win 10. Auf jedem Rechner ist der IIS (Internetinformationsdienst) für eine Webanwendung installiert. Die Daten der Webanwendung liegen auf dem NAS. Im IIS wird der UNC-Pfad des NAS referenziert und über localhost die Website gestartet. Das funktioniert bei Vista über VPN und mit dem Win 7 – PC einwandfrei. Nur der Win10-Rechner muckt rum. Die Webanwendung bringt im Browser eine Fehlermeldung, dass für den Zugriff auf die Website keine Rechte bestehen. Über den Dateiexplorer komme ich aber problemlos dort hin. Der IIS verwendet Anonymous Authentication, somit dürfte ohnehin jeder darauf zugreifen können. Ich habe schon Stunden damit verbracht, eine Lösung zu finden. Ich weiß nicht auf welcher Seite es klemmt. Am NAS kann es einerseits nicht liegen, weil es ja von den anderen Rechnern geht. Auf der anderen Seite, wenn ich eine einfache Netzwerkfestplatte anschließe und die Daten dort ablege geht es. Ich hab auch schon lange mit dem Synology-Support experimentiert, die sagen aber es liegt an Microsoft.
    Haben Sie evtl. eine Idee … Ich tappe völlig im dunkeln.

    • Hallo,
      verstehe ich das so richtig, dass die Fehlermeldung (Keine Rechte) erscheint, wenn du mit dem Browser die Adresse aufrufst? Mit welchem Browser versuchst du darauf zuzugreifen? Gibst du in die Adresszeile eine IP oder einen Namen ein? Hast du am Windows 10 eine Firewall laufen? Erstellst du mit dem Win10 ebenfalls eine VPN Verbindung? Von wo aus genau möchtest du auf die Webanwendung zugreifen? Vom internen Netzwerk oder von außerhalb?

    • Hi …
      danke für die prompte Reaktion. Am Browser scheint es nicht zu liegen. Egal ob IE, Firefox oder Edge. Auch die Browsersicherheit habe ich runtergesetzt. Firewall auch ausgeschaltet. Geht trotzdem nicht. Ich kann auch in der Adresszeile eingeben, was ich will, IP-Adresse mit oder ohne Port oder localhost mit oder ohne Port, egal. Immer das gleiche Ergebnis. Auch auf nem anderen Port als 80.
      Die Fehlermeldung lautet in etwas so: “Fehler 500.19, Die Website konnte nicht angezeigt werden. Die Konfigurationsdatei konnte nicht gelesen werden (UNC-Pfad/web.config). Fehlercode 0x8007003a <- über diesen findet man im Internet rein gar nichts. 500.19 deutet aber darauf hin, dass ich keine Rechte habe.
      Der Win10 Rechner geht nicht durch ein VPN sondern hängt direkt im LAN, ich bin direkt im internen Netz.

    • Hey, ok du möchtest also eine Anwendung auf deinem Webserver lokal öffnen. Ich würde jetzt mal das ganze mit einem Account testen. Du verwendest ja Anonymous Authentication! Erstelle mal einen Benutzer, dem du das Recht gibst darauf zuzugreifen. Der Nutzer muss natürlich auch auf dem NAS die entsprechenden Rechte haben. Was mir noch einfällt sind einmal die Gehärteten UNC Pfade. Das ist eine Gruppenrichtlinie in Windows 10, welche du explizit konfigurieren kannst. (gpedit.msc -> Computerkonfiguration -> Administrative Vorlagen -> Netzwerkanbieter -> Gehärtete UNC Pfade)
      Was unter anderem vielleicht noch möglich sein könnte, ist die NTLM Authentifizierung. Auch das ist eine Gruppenrichtlinie ( Computerkonfiguration -> Windows -Einstellungen -> Sicherheitseinstellungen -> Sicherheitsoptionen). Ich hatte bei der Umstellung Window 2000 zu Windows 7 auch mal so ein ähnliches Problem. Dort lag es an der NTLM Authentifizerung. Ein Versuch ist es ja mal Wert. Viele Grüße Markus

  10. Hi … vielen Dank für die vielen erfrischenden Ideen. Ich habe mit den Gruppenrichtlinien mal ein wenig rumexperimentiert. Leider ohne Erfolg. Auch mit Benutzern und Windows-Anmeldung und impersonate habe ich experimentiert. Es bleibt IMMER bei der gleichen Fehlermeldung – ich bin echt ratlos….

    • Hey, ok schade, dass es immer noch nicht funktioniert! Im Moment habe ich jetzt auch keine Idee. Sobald mir aber was einfällt dazu, gebe ich dir bescheid!

  11. Guten Morgen… ich bin das ganze im Kopf nochmal durchgegangen. Ich weiß nicht, auf welcher Seite das Problem liegt. Vielleicht hast du da noch ne Idee. Dazu folgende Gedanken… es liegt entweder a)am Share, b)am IIS, c)an Win10, d) an der Authentication. Ich drehe mich im Kreis, denn ich habe für alles eine Erklärung um a)-d) auszuschließen.
    a) am Share: Nein, weil es geht ja mit den anderen PCs
    b) am IIS: Nein, wenn ich die Daten der Website lokal legen, funktioniert es
    c) an Win10: Nein, mit der gleichen Begründung wie b) und d)
    d) an der Authentication: Antwort wie b)und ich komme über den Dateiexplorer zu den Daten hin.
    Also drehe ich mich im Kreis. Wenn ich auf Windows-Anmeldung einstelle und die Daten lokal lege, kommt erwartungsgemäß der Anmeldedialog. Wenn ich die Daten aufs Share lege, kommt nicht mal dieser …. Es klemmt also schon vorher irgendwie. Es scheint so, als würde irgendwo zwischen IIS und Share irgendwas dem Zugriff verhindern.

  12. Hallo,
    habe folgendes Problem und komme leider nicht weiter. Deshalb hoffe ich auf eure Hilfe.
    Ich möchte die Berechtigungen für einen Ordner für die Gruppe ERSTELLER-BESITZER ändern (über Eigenschaften > SICHERHEIT > BEARBEITEN), kann die vorgenommenen Änderungen aber leider nicht speichern. Die Auswahl ist möglich, allerdings wird die gewünschte Änderung nicht übernommen.
    Habt ihr einen Tipp, was ich noch versuchen kann?

    • Hallo,
      wenn du das Recht ändern möchtest bist du da auch als Benutzer angemeldet,der das auch darf? Liegt eine Vererbung vor? Ist evtl. noch ein Berechtigungsfenster offen?

  13. Hallo,
    ich bin nicht sicher, ob Sie meine frage beantworten können. Sobald ich bestimmte Spiele über Steam (auf Windows 10) starten möchte bekomme ich eine Fehlermeldung: Steam-Fehler: Fehler bei der Aktualisierung von (Festplattenschreibfehler). Ich habe schon einiges versucht, um die Spiele zum Laufen zu bringen, doch es tut sich nichts, die Fehlermeldung erscheint jedes Mal wieder, ich hoffe Sie können mir helfen.
    LG Chiara

    • Hallo, ob das an den Berechtigungen liegt bin ich mir nicht sicher. Handelt es sich um einen NTFS, FAT32 oder ReFS formatierte Festplatte?

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*