Zum Inhalt springen
sw
en

Tippe um zu suchen

Server & Active Directory

Windows Server – Dateifreigaben & Berechtigungen

Wie du SMB-Freigaben erstellst, NTFS-Berechtigungen richtig setzt und das A-G-DL-P-Modell in der Praxis anwendest.

8 Min Lesezeit Fortgeschritten Zuletzt aktualisiert:

Was sind Dateifreigaben – und warum sind Berechtigungen so wichtig?

Auf jedem Windows Server, der als Fileserver dient, liegen freigegebene Ordner – sogenannte SMB-Shares (Server Message Block). Wenn ein User \\server\Projekte im Explorer eingibt, greift er über das Netzwerk auf genau diesen Ordner zu. Was er dort darf, hängt von zwei unabhängigen Berechtigungsebenen ab, die gleichzeitig gelten:

  1. Share-Berechtigungen – regeln den Netzwerkzugriff auf die Freigabe selbst
  2. NTFS-Berechtigungen – regeln den Zugriff auf Dateisystemebene (lokal und über das Netz)

Das Tückische: Beide Ebenen werden kombiniert. Windows wendet immer die restriktivere der beiden an. Wer also bei NTFS “Vollzugriff” hat, aber bei der Share nur “Lesen” eingestellt ist, kommt übers Netzwerk trotzdem nur lesend ran.

Die zwei Berechtigungsebenen im Detail

Share-Berechtigungen

Share-Berechtigungen sind grob und kennen nur drei Stufen:

BerechtigungWas erlaubt ist
LesenDateien und Ordner anzeigen, öffnen, kopieren
ÄndernAlles aus “Lesen” + Dateien erstellen, bearbeiten, löschen
VollzugriffAlles aus “Ändern” + Share-Berechtigungen selbst ändern

Wichtig: Diese Berechtigungen greifen nur beim Netzwerkzugriff. Wer sich lokal am Server einloggt, geht an den Share-Berechtigungen völlig vorbei.

NTFS-Berechtigungen

NTFS-Berechtigungen sind feingranularer und gelten überall – ob lokal oder übers Netz. Die sechs Grundberechtigungen:

BerechtigungBeschreibung
VollzugriffAlles inklusive Berechtigungen ändern und Besitz übernehmen
ÄndernLesen + Schreiben + Löschen (ohne Berechtigungen ändern)
Lesen & AusführenDateien lesen, ausführen, Ordnerinhalt auflisten
Ordnerinhalt auflistenNur Ordnerinhalt anzeigen (ohne Dateien zu öffnen)
LesenDateien und Attribute lesen
SchreibenDateien erstellen und ändern (ohne löschen)

Hinter den Kulissen gibt es noch erweiterte/spezielle Berechtigungen – 14 Einzelrechte wie “Attribute schreiben”, “Unterordner und Dateien auflisten” usw. Die brauchst du nur in Ausnahmefällen, z.B. wenn du einem Service-Account nur das Recht geben willst, Dateien zu lesen aber nicht Ordner aufzulisten.

Vererbung

NTFS-Berechtigungen werden standardmässig vererbt: Ein Unterordner übernimmt die Berechtigungen des übergeordneten Ordners automatisch. Das ist in den meisten Fällen genau richtig – aber manchmal willst du das durchbrechen, etwa wenn ein Abteilungsordner eine eigene Berechtigung haben soll, unabhängig vom Parent.

Vererbung deaktivieren: Rechtsklick auf Ordner > Eigenschaften > Sicherheit > Erweitert > “Vererbung deaktivieren”. Du kannst dann wählen, ob du die bestehenden Berechtigungen konvertierst (aus geerbten werden explizite) oder komplett löscht.

Freigabe erstellen – Schritt für Schritt

Variante 1: GUI (Server Manager)

  1. Server Manager öffnen > Datei- und Speicherdienste > Freigaben
  2. Auf “Tasks” klicken > “Neue Freigabe”
  3. Profil wählen: SMB-Freigabe – Schnell ist für die meisten Fälle richtig
  4. Pfad angeben (z.B. D:\Freigaben\Projekte)
  5. Freigabename vergeben (z.B. Projekte) – der Name, den die User als \\server\Projekte sehen
  6. Optionale Features: “Access-Based Enumeration” aktivieren (empfohlen, siehe unten)
  7. Berechtigungen konfigurieren

Variante 2: PowerShell

Für die meisten Admins schneller und scriptefähig:

# Ordner anlegen
New-Item -ItemType Directory -Path "D:\Freigaben\Projekte"

# Freigabe erstellen
# Share-Berechtigung: Alle authentifizierten Benutzer dürfen rein (NTFS steuert den Rest)
New-SmbShare `
  -Name "Projekte" `
  -Path "D:\Freigaben\Projekte" `
  -FullAccess "Authentifizierte Benutzer" `
  -Description "Projektdateien aller Abteilungen"

# NTFS-Berechtigung setzen: Gruppe "Mitarbeiter" bekommt "Aendern"
$acl = Get-Acl "D:\Freigaben\Projekte"
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule(
  "FIRMA\Mitarbeiter",
  "Modify",
  "ContainerInherit,ObjectInherit",
  "None",
  "Allow"
)
$acl.SetAccessRule($rule)
Set-Acl -Path "D:\Freigaben\Projekte" -AclObject $acl
# Freigaben auflisten
Get-SmbShare

# Wer ist aktuell verbunden?
Get-SmbSession

# Einzelne Freigabe anzeigen
Get-SmbShare -Name "Projekte"

# Freigabe entfernen
Remove-SmbShare -Name "Projekte" -Force

Netzlaufwerk verbinden (Client-seitig)

rem Dauerhaft als Laufwerk Z: verbinden
net use Z: \\server01\Projekte /persistent:yes

rem Mit anderen Zugangsdaten verbinden
net use Z: \\server01\Projekte /user:FIRMA\mmuster /persistent:yes

Oder per PowerShell:

New-PSDrive -Name "Z" -PSProvider FileSystem -Root "\\server01\Projekte" -Persist

Per GPO lassen sich Netzlaufwerke für alle User oder bestimmte Gruppen automatisch verbinden – das ist der sauberere Weg in einer AD-Umgebung. Mehr dazu auf der GPO-Seite.

Das A-G-DL-P-Modell: Berechtigungen skalierbar aufbauen

Wenn du nur einen Ordner und drei User hast, kannst du Berechtigungen direkt auf User setzen. Sobald es mehr wird, brauchst du eine Struktur. Das bewährte Modell heisst A-G-DL-P:

KürzelSteht fürBedeutung
AAccountDer User-Account selbst
GGlobal GroupGlobale Sicherheitsgruppe (enthält User, z.B. “Mitarbeiter-Buchhaltung”)
DLDomain Local GroupDomain-lokale Gruppe (erhält die Berechtigung, z.B. “Freigabe-Buchhaltung-Lesen”)
PPermissionDie NTFS-Berechtigung, die der DL-Gruppe zugewiesen wird

Konkret: Anstatt den User “Maria Meier” direkt in die NTFS-ACL zu schreiben, machst du das so:

  1. Maria ist Mitglied der Global Group GG-Buchhaltung
  2. GG-Buchhaltung ist Mitglied der Domain Local Group DL-Projekte-Buchhaltung-Aendern
  3. DL-Projekte-Buchhaltung-Aendern hat auf D:\Freigaben\Projekte\Buchhaltung die NTFS-Berechtigung “Ändern”

Wenn jetzt eine neue Kollegin in die Buchhaltung kommt, fügst du sie einfach zur Global Group GG-Buchhaltung hinzu – fertig. Keine Berechtigungen auf Ordnerebene anfassen.

Access-Based Enumeration (ABE) – verstecken, was der User nicht sehen darf

Standardmässig kann ein User im Explorer alle Ordner sehen, auch wenn er keinen Zugriff hat – er bekommt beim Öffnen nur eine Fehlermeldung. Das ist nicht nur unschön, sondern gibt auch Einblick in die Ordnerstruktur.

Access-Based Enumeration versteckt Ordner, auf die ein User keine Leseberechtigung hat – er sieht sie schlicht nicht. Aktivieren per GUI oder PowerShell:

# ABE fuer eine bestehende Freigabe aktivieren
Set-SmbShare -Name "Projekte" -FolderEnumerationMode AccessBased

# Status prüfen
Get-SmbShare -Name "Projekte" | Select-Object Name, FolderEnumerationMode

SMB-Verschlüsselung: Übertragung absichern

Seit SMB 3.0 (Windows Server 2012) lässt sich der Datentransfer zwischen Client und Server verschlüsseln – ohne zusätzliche IPsec-Konfiguration. Das schützt vor Abhören im Netzwerk, besonders relevant in WAN-Verbindungen oder bei sensiblen Daten.

# Verschlüsselung für eine einzelne Freigabe erzwingen
Set-SmbShare -Name "Projekte" -EncryptData $true

# Verschlüsselung serverweit erzwingen (alle Freigaben)
Set-SmbServerConfiguration -EncryptData $true

# Aktuellen Status prüfen
Get-SmbServerConfiguration | Select-Object EncryptData
Get-SmbShare | Select-Object Name, EncryptData

Windows Server 2022 und Windows 11 unterstützen AES-256-GCM als stärksten Algorithmus – er wird automatisch ausgehandelt, wenn beide Seiten ihn können.

Troubleshooting: Die häufigsten Probleme

”Zugriff verweigert” – obwohl Berechtigungen gesetzt sind

Das ist der Klassiker. Vorgehen:

  1. Share-Berechtigungen prüfen: Rechtsklick auf freigegebenen Ordner > Eigenschaften > Freigabe > Erweiterte Freigabe > Berechtigungen
  2. NTFS-Berechtigungen prüfen: Rechtsklick > Eigenschaften > Sicherheit > Bearbeiten
  3. Kombination: Erinnere dich – es gilt immer die restriktivere Ebene
  4. Gruppenmitgliedschaft prüfen: Ist der User in der richtigen AD-Gruppe? Wurde er neu hinzugefügt und hat sich noch nicht neu angemeldet?
# Gruppenmitgliedschaft eines Users prüfen
Get-ADUser -Identity "mmuster" -Properties MemberOf | Select-Object -ExpandProperty MemberOf

# Effektive Berechtigungen auf einem Ordner prüfen (via icacls)
icacls "D:\Freigaben\Projekte"

# Berechtigungen einer Freigabe anzeigen
Get-SmbShareAccess -Name "Projekte"

Nach einer Gruppenänderung im AD muss sich der User neu anmelden – das Kerberos-Token mit den Gruppenmitgliedschaften wird erst beim Login neu ausgestellt.

Freigabe nicht erreichbar / Name wird nicht aufgelöst

rem Ist der Server überhaupt erreichbar?
ping server01

rem Ist Port 445 offen?
Test-NetConnection -ComputerName server01 -Port 445

rem DNS-Auflösung prüfen
nslookup server01

Wenn Port 445 (SMB) durch die Windows-Firewall blockiert wird, hilft:

# Firewall-Regel für SMB aktivieren (wenn versehentlich deaktiviert)
Enable-NetFirewallRule -DisplayGroup "Datei- und Druckerfreigabe"

Netzlaufwerk verbindet nach Neustart nicht mehr

Häufige Ursache: Die Verbindung wurde mit net use /persistent:yes gesetzt, aber das Laufwerk ist beim Systemstart noch nicht erreichbar (Netzwerk nicht fertig initialisiert). Lösung: Netzlaufwerke per GPO-Logon-Skript oder GPO “Drive Mapping” verbinden – das greift erst, wenn Netzwerk und AD erreichbar sind.

Event-Log: Wo stehen die Fehler?

# SMB-Fehler im Event Log finden
Get-WinEvent -LogName "Microsoft-Windows-SMBServer/Operational" |
  Where-Object { $_.LevelDisplayName -eq "Error" } |
  Select-Object TimeCreated, Message |
  Select-Object -First 20

Snapshot: Berechtigungsstruktur für ein typisches KMU

Hier ein konkretes Beispiel, wie eine saubere Freigabestruktur für eine Firma mit drei Abteilungen aussehen könnte:

\\fileserver\Firma\          ← Freigabe "Firma"
  ├── Allgemein\             ← Alle Mitarbeiter: Lesen
  ├── Buchhaltung\           ← Nur Buchhaltung: Ändern
  ├── IT\                    ← Nur IT: Ändern
  └── Geschäftsleitung\      ← Nur GL: Ändern, andere: kein Zugriff (ABE versteckt)

AD-Gruppen:

Globale GruppeDomain-Lokale GruppeNTFS-Recht
GG-Alle-MADL-Firma-Allgemein-LesenLesen
GG-BuchhaltungDL-Firma-Buchhaltung-AendernÄndern
GG-ITDL-Firma-IT-VollzugriffVollzugriff
GG-GLDL-Firma-GL-AendernÄndern

Share-Berechtigung: Authentifizierte Benutzer – Vollzugriff (einmal, für alle)

Zusammenhang mit anderen Themen

Dateifreigaben sind selten isoliert – sie hängen eng mit folgenden Bereichen zusammen:

Weiterlernen

Videos

YouTube
Windows Server 2019 – Tutorial Teil 5: Ordner-Freigaben einrichten
YouTube
How-To #025 – Freigaben und Berechtigungen (A G DL P) unter Windows Server 2012 R2

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben