Beim Zugriff auf Ihren Dateiserver sehen die Benutzer Ihres Netzwerks alle Freigabeinhalte, unabhängig davon, ob sie Zugriffsberechtigungen hierfür haben oder nicht.

Ein einfacher Weg, um dies zu ändern und z.B. den Anwendern die Suche nach den richtigen Daten somit zu vereinfachen, ist das Verbergen aller Daten, auf die der Benutzer keinen Zugriff hat.

Der Windows Server 2008 bietet hier von Haus aus eine Lösung: Access-based Enumeration (ABE) ist hier als Feature direkt integriert. Aber auch unter dem Windows Server 2003 ab Service Pack 1 steht Ihnen die Möglichkeit zur Verfügung, Freigabeinhalte nur für Benutzer mit entsprechenden Berechtigungen sichtbar zu machen.

Um die Funktion nachzurüsten, laden Sie sich zunächst direkt bei Microsoft die Erweiterung für ABE herunter. Nach der Installation öffnen Sie die Eigenschaften einer Freigabe und wechseln Sie zum neuen Register “Access-based Enumeration”. Hier aktivieren Sie die ABE nun für einzelne oder für alle Freigaben auf Ihrem Server.

Sobald die Einstellung aktiviert ist und Sie dies über “OK” oder “Übernehmen” bestätigt haben, sind die Ordnerinhalte beim Zugriff über die Freigabe nur noch für Benutzer sichtbar, die entsprechende Zugriffsberechtigungen darauf haben.

P.S.: In der April-Ausgabe von “Windows Server” zeigt unsere Redaktion Ihnen übrigens weitere Schritte, mit denen Sie Ihren Dateiserver absichern und härten.

Ein mysteriöses Problem beschäftigte einen unserer Leser in der letzten Woche. Er hat als Administrator eine vorhandene Windows-Domäne übernommen und ein Problem bei der Einrichtung von lokalen Administratoren auf den Clients: Nach einem Neustart waren die hinzugefügten Benutzer wieder aus der Gruppe der lokalen Administratoren verschwunden.

Für die Rechtevergabe gibt es in Windows-Domänen eine nützliche Hilfe: Die Gruppenrichtlinie „Eingeschränkte Gruppen” unter „Computerkonfiguration” -> „Windows-Einstellungen” -> „Sicherheitseinstellungen”. Hiermit lassen sich auf den Domänen-Computern Mitglieder zu den lokalen Benutzergruppen hinzufügen. Wird ein Domänen-Benutzerkonto nicht über diese Richtlinie gezielt in eine lokale Gruppe aufgenommen, ist sie automatisch nur Mitglied der Gruppe „Benutzer”.

Der Haken an der Sache folgt auf dem Fuße: Die Benutzerkonten, die in der Gruppenrichtlinie definiert werden, ergänzen die Mitglieder der lokalen Gruppen der Computer nicht, sie ersetzen sie. Hier fand sich auch die Ursache für das Problem unseres Lesers: Die lokalen Administratoren waren über die eingeschränkten Gruppen definiert. Alle lokal hinzugefügten Mitglieder der Gruppe wurden hierdurch wieder entfernt, sobald die Gruppenrichtlinie angewendet wurde (z.B. durch einen Neustart oder in den Standardeinstellungen nach ca. 90 Minuten).

Bei der Benutzung dieser Richtlinie sollte man übrigens immer darauf achten, seinen Domänenadministratoren nicht die lokalen Administrationsrechte auf den Clients zu entziehen