NTFS-Zugriffsrechte beim Kopieren und Verschieben vererben
Jede Datei und jeder Ordner, die oder auf einem NTFS-Datenträger erstellt wird, erhält damit – neben anderen Attributen wie etwa dem Dateinamen, den Datumsstempeln und dem Inhalt – einen voreingestellten Satz an Zugriffsrechten. Diese definieren, welcher Benutzer welche Berechtigungen für diese Datei oder diesen Ordner besitzt. Welche Rechte voreingestellt sind, ist im Prinzip einfach: Der Ordner, in welchem die neue Datei oder der Ordner entsteht, vererbt seine eigenen Rechte an die „Kinder“.
Kopieren oder Verschieben: Das sind die Unterschiede
Werden Dateien oder Ordner kopiert oder verschoben, gilt diese Grundregel im Prinzip ebenso. Aus der gleichen Regel für die Zugriffsrechte beim Kopieren und Verschieben folgen aber unterschiedliche Ergebnisse. Diese Regeln gelten bis Windows XP/Windows Server 2008:
- Kopieren bedeutet für das Dateisystem die Erstellung einer neuen Datei (mit dem Namen und dem Inhalt der Quelldatei) oder eines neuen Ordners am Zielort, das heißt also, sie bekommt per Vererbung die Berechtigungen des Zielordners.
- Verschieben innerhalb eines Volumes ist aus Sicht des Dateisystems jedoch etwas anderes: Die ursprüngliche Datei oder der ursprüngliche Ordner erhält lediglich einen neuen Pfad-Eintrag, neu erstellt wird hier nichts. Folglich sind auch am neuen Ort die Zugriffsrechte noch die alten, es findet keine Vererbung statt.
- Verschieben zwischen zwei Volumes stellt aus Dateisystem-Sicht wiederum gar kein Verschieben dar: Erst wird die Datei oder der Ordner auf das Ziel-Volume kopiert, dann auf dem Quell-Volume gelöscht, da diese jeweils eigene Dateisystem-Wurzeln besitzen. Es werden also die Zugriffsrechte des Zielordners vererbt wie beim Kopieren auch, da Dateisystem-Objekte neu erstellt werden.
Für Benutzer und Administratoren ist das unbefriedigend. Zwar gelten klare Regeln, und man kommt dadurch, dass man sich vergegenwärtigt, was aus Sicht des Dateisystems geschieht, immer auf das richtige Ergebnis. Doch erstens ist es für Benutzer nicht zumutbar, sich bei der täglichen Arbeit in das Innenleben von NTFS hineinzuversetzen, zweitens bedeutet heutzutage „Volume“ nicht mehr „Laufwerksbuchstabe“, da sie stattdessen auch in einem leeren Ordner bereitgestellt werden können. Beim Verschieben weiß man also – ob nun Benutzer oder Administrator – unter Umständen gar nicht, dass man gerade eine Volume-Grenze überschreitet.
Zugriffsrechte-Vererbung beim Verschieben: Neue Regeln ab Windows Vista
Um diesem Problem zu begegnen, hat Microsoft ab Windows Vista/Windows Server 2008 R2 die Regeln geändert – die Sicht des Dateisystems dominiert nicht mehr. Verschobene Dateien und Ordner erben nun, genau wie beim Kopieren, immer die Berechtigungen ihres übergeordneten Ordners, ob nun Volume-Grenzen überschritten werden oder nicht. Das macht derartige Operationen übersichtlicher, da man Volume-Grenzen nicht mehr beachten muss und theoretisch ein zuverlässig vorhersagbares Verhalten bei jeder Verschiebeoperation erhält.
Leider nur theoretisch: Offensichtlich wurde die Korrektur nicht im Dateisystem selbst vorgenommen, sondern eine automatische Korrektur bei jeder Verschiebeoperation eingebaut. Das funktioniert aber derzeit nicht immer, es kommt also auf das Tool an, mit dem man die Dateien und/oder Ordner verschiebt
Beispiel: Datei-Operationen im Explorer verhalten sich den neuen Regeln entsprechend, Robocopy ebenfalls. Bei Verschiebungen aus der Eingabeaufforderung mit dem move-Befehl der cmd.exe sind weiterhin die alten XP-Regeln aktiv. Administratoren müssen wissen, dass hier ein Reparaturversuch von Microsoft nur teilweise erfolgreich war und beim Einsatz von Software im Unternehmen gegebenenfalls deren Verhalten bei Dateioperationen explizit testen.
