NTFS-Berechtigungen anwenden
Über die NTFS-Berechtigungen regeln Sie nun exakt den Zugriff. Allgemeine Verzeichnisse sind
von jedermann lesbar aber nicht beschreibbar. Die Zugriffberechtigungen für ein Verzeichnis
stellen Sie über die Ordner-Eigenschaften im Register
Sicherheitseinstellungen ein.
Hier fällt eine Besonderheit auf: Zugriffsberechtigungen können in einer Hierarchie vererbt
werden, wobei die Berechtigungen des jeweils höheren Verzeichnisses übernommen werden. Sind
viele verschiedene Berechtigungen nötig, sparen Sie mit Vererbung Zeit. In diesem Beispiel
machen wir von der Vererbung keinen Gebrauch. Deaktivieren Sie das Kontrollkästchen
Vererbbare übergeordnete Rechte übernehmen und klicken Sie im folgenden Dialog
auf
Entfernen. Dadurch verschwindet die Gruppe
Jeder (sowie alle anderen
Einträge). Fügen Sie die Gruppe
Jeder erneut hinzu. Die voreingestellten
Berechtigungen lauten
Lesen, Ausführen,
Ordnerinhalt auflisten
und
Lesen. Übernehmen Sie diese und fügen Sie nun noch den lokalen Administrator mit
Vollzugriff hinzu. Der Administrator oder die lokale Gruppe der Administratoren sollten
immer und überall Vollzugriff haben (in Domänen ist es die globale Admin-Gruppe).
Die Zugriffsrechte für ein Read-Only-Verzeichnis, das jeder anzeigen
kann. Die Administratorengruppe hat Vollzugriff.
Erstellen Sie nun im FTP-Root die Anwenderverzeichnisse (User-Home), falls noch nicht
geschehen. Für das Bestücken einer Web-Site werden die Daten in diese Verzeichnisse
geladen. Für reinen FTP-Betrieb sollten zwecks Übersicht weitere Verzeichnisse mit
entsprechenden Berechtigungen erstellt werden. Die Verteilung dieser Berechtigungen ist nicht
zuletzt auch Geschmackssache. Folgende Aufteilung ist sinnvoll: Im User Home gibt es
mindestens die zwei Verzeichnisse Upload und Download. Im User Home selbst hat
der User nur Ausführen/Lese-Berechtigung - er soll nämlich aus Gründen der Übersicht keine
Dateien dort speichern können. Lese-und Ausführen-Berechtigung schliesst automatisch
Ordnerinhalt auflisten mit ein. Ausserdem ist zusätzlich
Lese-Berechtigung zu erteilen, wenn man Ausführen-Berechtigung haben möchte. Das geht
aber automatisch. Das Download-Verzeichnis erhält die gleichen Berechtigungen. Hier stellt
der Admin (FTP-Operator) Dateien zur Verfügung, die für den User persönlich gedacht sind.
Nur im Upload-Verzeichnis darf auch geschrieben und gelöscht werden. Die Berechtigung dafür
setzt man am besten auf Ändern. Diese Berechtigung entspricht einem Vollzugriff, es
fehlen lediglich die Berechtigungen Berechtigungen ändern und Besitzrechte
übernehmen. Besitzrechte übernehmen sollte grundsätzlich nur der Administrator dürfen.
Diese Funktion ist für den Notfall gedacht, wenn nur der Besitzer Zugriff hat, aber zum
Beispiel nicht erreichbar ist. Der Administrator kann dann den Besitz auf sich übertragen.
Damit ist auch klar, dass nur der Administrator Berechtigungen ändern darf.
Verweigern sollte man vermeiden, da die Zugriffssteuerung auch so schon kompliziert genug
ist. Nicht vergessen, in jedem Verzeichnis den Administrator mit Vollzugriff einzutragen!
Meldet sich ein Anwender mit einem FTP-Client an, landet er im FTP-Root und sieht dort die
Home-Verzeichnisse der anderen Anwender. Manche Clients wie CuteFTP erlauben das Einstellen
des Start-Verzeichnisses auf dem FTP-Server. Ansonsten lässt sich das nicht verhindern. Er
hat jedoch keinen Zugriff aufgrund fehlender Berechtigungen.
Viel mehr gibt es beim FTP-Server nicht einzustellen. Es lassen sich Meldungen definieren, die
bei An- und Abmeldung sowie beim Überschreiten der maximal zulässigen Anzahl Verbindungen
angezeigt werden. Und es kann ein Protokoll geschrieben sowie ein Timeout (900 Sekunden
voreingestellt) angegeben werden. Man kann dem User zum Beispiel keine Meldungen zukommen
lassen, dazu müsste man eine Datei in seinem Home-Verzeichnis erzeugen.
