Windows Bug oder Feature? DFS-Probleme mit vererbten Freigaben
Viele Firmen setzen DFS ein. Die Ordnerziele sind meistens Freigaben. Aber was passiert, wenn diese Freigaben NTFS-technisch vererbt, also alle Berechtigungen vom Elternverzeichnis erhalten sollen?
Im Rahmen unserer CARO-Suite Entwicklung sind wir wieder einmal an ein interessantes Phänomen gestoßen. Ich halte es für ein Problem und zeige wie man es umgehen bzw. wie es meiner Meinung nach auch gelöst werden kann.
Für Analysen von DFS-Strukturen haben wir zusätzlich ein Tool entwickelt. Bei Interesse kontaktieren Sie uns gerne über unsere Webseite.
Das Problem im Detail
Als kurze Einführung für das DFS nehmen wir das folgende Bild.
Das Ordnerziel könnte dann so aussehen.
Wenn die Berechtigung wie folgt aussieht, dann raten wir dringend davon ab, die Berechtigung über den DFS-Pfad zu ändern, wenn die Vererbung des NTFS-Pfades eingeschaltet ist.
Es ist deutlich zu sehen, dass die NTFS-Zugriffe von T: vererbt sind.
Auf dem DFS sieht man das echte Laufwerk nicht. Microsoft kann nur Parent Object anzeigen. Durch die Beschriftung „Disable Inheritance“ ist ersichtlich, dass dieses Verzeichnis vererbt ist.
Wenn nun die beiden SIDs gelöscht werden sollen, entfernt man die beiden Einträge.
Nun muss Apply gedrückt werden und dann geschieht das Unerwartete.
Auf dem Originallaufwerk wird der falsche Ort gezeigt, von dem geerbt wird. Hinzu kommt, dass die Security nicht mehr angezeigt wird wegen der UAC.
Diese Einträge kommen nicht von T: sondern vom DFS-Root, der in diesem Beispiel auf C: liegt.
Es werden also auf T: Berechtigungen von C: vererbt dargestellt.
Daher unser Rat: die NTFS – Vererbung auf jedem Ordnerziel muss aufgebrochen werden, siehe Video.