Windows Server – Dateifreigaben & Berechtigungen
Wie du SMB-Freigaben erstellst, NTFS-Berechtigungen richtig setzt und das A-G-DL-P-Modell in der Praxis anwendest.
Was sind Dateifreigaben – und warum sind Berechtigungen so wichtig?
Auf jedem Windows Server, der als Fileserver dient, liegen freigegebene Ordner – sogenannte SMB-Shares (Server Message Block). Wenn ein User \\server\Projekte im Explorer eingibt, greift er über das Netzwerk auf genau diesen Ordner zu. Was er dort darf, hängt von zwei unabhängigen Berechtigungsebenen ab, die gleichzeitig gelten:
- Share-Berechtigungen – regeln den Netzwerkzugriff auf die Freigabe selbst
- NTFS-Berechtigungen – regeln den Zugriff auf Dateisystemebene (lokal und über das Netz)
Das Tückische: Beide Ebenen werden kombiniert. Windows wendet immer die restriktivere der beiden an. Wer also bei NTFS “Vollzugriff” hat, aber bei der Share nur “Lesen” eingestellt ist, kommt übers Netzwerk trotzdem nur lesend ran.
Die zwei Berechtigungsebenen im Detail
Share-Berechtigungen
Share-Berechtigungen sind grob und kennen nur drei Stufen:
| Berechtigung | Was erlaubt ist |
|---|---|
| Lesen | Dateien und Ordner anzeigen, öffnen, kopieren |
| Ändern | Alles aus “Lesen” + Dateien erstellen, bearbeiten, löschen |
| Vollzugriff | Alles aus “Ändern” + Share-Berechtigungen selbst ändern |
Wichtig: Diese Berechtigungen greifen nur beim Netzwerkzugriff. Wer sich lokal am Server einloggt, geht an den Share-Berechtigungen völlig vorbei.
NTFS-Berechtigungen
NTFS-Berechtigungen sind feingranularer und gelten überall – ob lokal oder übers Netz. Die sechs Grundberechtigungen:
| Berechtigung | Beschreibung |
|---|---|
| Vollzugriff | Alles inklusive Berechtigungen ändern und Besitz übernehmen |
| Ändern | Lesen + Schreiben + Löschen (ohne Berechtigungen ändern) |
| Lesen & Ausführen | Dateien lesen, ausführen, Ordnerinhalt auflisten |
| Ordnerinhalt auflisten | Nur Ordnerinhalt anzeigen (ohne Dateien zu öffnen) |
| Lesen | Dateien und Attribute lesen |
| Schreiben | Dateien erstellen und ändern (ohne löschen) |
Hinter den Kulissen gibt es noch erweiterte/spezielle Berechtigungen – 14 Einzelrechte wie “Attribute schreiben”, “Unterordner und Dateien auflisten” usw. Die brauchst du nur in Ausnahmefällen, z.B. wenn du einem Service-Account nur das Recht geben willst, Dateien zu lesen aber nicht Ordner aufzulisten.
Vererbung
NTFS-Berechtigungen werden standardmässig vererbt: Ein Unterordner übernimmt die Berechtigungen des übergeordneten Ordners automatisch. Das ist in den meisten Fällen genau richtig – aber manchmal willst du das durchbrechen, etwa wenn ein Abteilungsordner eine eigene Berechtigung haben soll, unabhängig vom Parent.
Vererbung deaktivieren: Rechtsklick auf Ordner > Eigenschaften > Sicherheit > Erweitert > “Vererbung deaktivieren”. Du kannst dann wählen, ob du die bestehenden Berechtigungen konvertierst (aus geerbten werden explizite) oder komplett löscht.
Freigabe erstellen – Schritt für Schritt
Variante 1: GUI (Server Manager)
- Server Manager öffnen > Datei- und Speicherdienste > Freigaben
- Auf “Tasks” klicken > “Neue Freigabe”
- Profil wählen: SMB-Freigabe – Schnell ist für die meisten Fälle richtig
- Pfad angeben (z.B.
D:\Freigaben\Projekte) - Freigabename vergeben (z.B.
Projekte) – der Name, den die User als\\server\Projektesehen - Optionale Features: “Access-Based Enumeration” aktivieren (empfohlen, siehe unten)
- Berechtigungen konfigurieren
Variante 2: PowerShell
Für die meisten Admins schneller und scriptefähig:
# Ordner anlegen
New-Item -ItemType Directory -Path "D:\Freigaben\Projekte"
# Freigabe erstellen
# Share-Berechtigung: Alle authentifizierten Benutzer dürfen rein (NTFS steuert den Rest)
New-SmbShare `
-Name "Projekte" `
-Path "D:\Freigaben\Projekte" `
-FullAccess "Authentifizierte Benutzer" `
-Description "Projektdateien aller Abteilungen"
# NTFS-Berechtigung setzen: Gruppe "Mitarbeiter" bekommt "Aendern"
$acl = Get-Acl "D:\Freigaben\Projekte"
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule(
"FIRMA\Mitarbeiter",
"Modify",
"ContainerInherit,ObjectInherit",
"None",
"Allow"
)
$acl.SetAccessRule($rule)
Set-Acl -Path "D:\Freigaben\Projekte" -AclObject $acl
# Freigaben auflisten
Get-SmbShare
# Wer ist aktuell verbunden?
Get-SmbSession
# Einzelne Freigabe anzeigen
Get-SmbShare -Name "Projekte"
# Freigabe entfernen
Remove-SmbShare -Name "Projekte" -Force
Netzlaufwerk verbinden (Client-seitig)
rem Dauerhaft als Laufwerk Z: verbinden
net use Z: \\server01\Projekte /persistent:yes
rem Mit anderen Zugangsdaten verbinden
net use Z: \\server01\Projekte /user:FIRMA\mmuster /persistent:yes
Oder per PowerShell:
New-PSDrive -Name "Z" -PSProvider FileSystem -Root "\\server01\Projekte" -Persist
Per GPO lassen sich Netzlaufwerke für alle User oder bestimmte Gruppen automatisch verbinden – das ist der sauberere Weg in einer AD-Umgebung. Mehr dazu auf der GPO-Seite.
Das A-G-DL-P-Modell: Berechtigungen skalierbar aufbauen
Wenn du nur einen Ordner und drei User hast, kannst du Berechtigungen direkt auf User setzen. Sobald es mehr wird, brauchst du eine Struktur. Das bewährte Modell heisst A-G-DL-P:
| Kürzel | Steht für | Bedeutung |
|---|---|---|
| A | Account | Der User-Account selbst |
| G | Global Group | Globale Sicherheitsgruppe (enthält User, z.B. “Mitarbeiter-Buchhaltung”) |
| DL | Domain Local Group | Domain-lokale Gruppe (erhält die Berechtigung, z.B. “Freigabe-Buchhaltung-Lesen”) |
| P | Permission | Die NTFS-Berechtigung, die der DL-Gruppe zugewiesen wird |
Konkret: Anstatt den User “Maria Meier” direkt in die NTFS-ACL zu schreiben, machst du das so:
- Maria ist Mitglied der Global Group
GG-Buchhaltung GG-Buchhaltungist Mitglied der Domain Local GroupDL-Projekte-Buchhaltung-AendernDL-Projekte-Buchhaltung-Aendernhat aufD:\Freigaben\Projekte\Buchhaltungdie NTFS-Berechtigung “Ändern”
Wenn jetzt eine neue Kollegin in die Buchhaltung kommt, fügst du sie einfach zur Global Group GG-Buchhaltung hinzu – fertig. Keine Berechtigungen auf Ordnerebene anfassen.
Access-Based Enumeration (ABE) – verstecken, was der User nicht sehen darf
Standardmässig kann ein User im Explorer alle Ordner sehen, auch wenn er keinen Zugriff hat – er bekommt beim Öffnen nur eine Fehlermeldung. Das ist nicht nur unschön, sondern gibt auch Einblick in die Ordnerstruktur.
Access-Based Enumeration versteckt Ordner, auf die ein User keine Leseberechtigung hat – er sieht sie schlicht nicht. Aktivieren per GUI oder PowerShell:
# ABE fuer eine bestehende Freigabe aktivieren
Set-SmbShare -Name "Projekte" -FolderEnumerationMode AccessBased
# Status prüfen
Get-SmbShare -Name "Projekte" | Select-Object Name, FolderEnumerationMode
SMB-Verschlüsselung: Übertragung absichern
Seit SMB 3.0 (Windows Server 2012) lässt sich der Datentransfer zwischen Client und Server verschlüsseln – ohne zusätzliche IPsec-Konfiguration. Das schützt vor Abhören im Netzwerk, besonders relevant in WAN-Verbindungen oder bei sensiblen Daten.
# Verschlüsselung für eine einzelne Freigabe erzwingen
Set-SmbShare -Name "Projekte" -EncryptData $true
# Verschlüsselung serverweit erzwingen (alle Freigaben)
Set-SmbServerConfiguration -EncryptData $true
# Aktuellen Status prüfen
Get-SmbServerConfiguration | Select-Object EncryptData
Get-SmbShare | Select-Object Name, EncryptData
Windows Server 2022 und Windows 11 unterstützen AES-256-GCM als stärksten Algorithmus – er wird automatisch ausgehandelt, wenn beide Seiten ihn können.
Troubleshooting: Die häufigsten Probleme
”Zugriff verweigert” – obwohl Berechtigungen gesetzt sind
Das ist der Klassiker. Vorgehen:
- Share-Berechtigungen prüfen: Rechtsklick auf freigegebenen Ordner > Eigenschaften > Freigabe > Erweiterte Freigabe > Berechtigungen
- NTFS-Berechtigungen prüfen: Rechtsklick > Eigenschaften > Sicherheit > Bearbeiten
- Kombination: Erinnere dich – es gilt immer die restriktivere Ebene
- Gruppenmitgliedschaft prüfen: Ist der User in der richtigen AD-Gruppe? Wurde er neu hinzugefügt und hat sich noch nicht neu angemeldet?
# Gruppenmitgliedschaft eines Users prüfen
Get-ADUser -Identity "mmuster" -Properties MemberOf | Select-Object -ExpandProperty MemberOf
# Effektive Berechtigungen auf einem Ordner prüfen (via icacls)
icacls "D:\Freigaben\Projekte"
# Berechtigungen einer Freigabe anzeigen
Get-SmbShareAccess -Name "Projekte"
Nach einer Gruppenänderung im AD muss sich der User neu anmelden – das Kerberos-Token mit den Gruppenmitgliedschaften wird erst beim Login neu ausgestellt.
Freigabe nicht erreichbar / Name wird nicht aufgelöst
rem Ist der Server überhaupt erreichbar?
ping server01
rem Ist Port 445 offen?
Test-NetConnection -ComputerName server01 -Port 445
rem DNS-Auflösung prüfen
nslookup server01
Wenn Port 445 (SMB) durch die Windows-Firewall blockiert wird, hilft:
# Firewall-Regel für SMB aktivieren (wenn versehentlich deaktiviert)
Enable-NetFirewallRule -DisplayGroup "Datei- und Druckerfreigabe"
Netzlaufwerk verbindet nach Neustart nicht mehr
Häufige Ursache: Die Verbindung wurde mit net use /persistent:yes gesetzt, aber das Laufwerk ist beim Systemstart noch nicht erreichbar (Netzwerk nicht fertig initialisiert). Lösung: Netzlaufwerke per GPO-Logon-Skript oder GPO “Drive Mapping” verbinden – das greift erst, wenn Netzwerk und AD erreichbar sind.
Event-Log: Wo stehen die Fehler?
# SMB-Fehler im Event Log finden
Get-WinEvent -LogName "Microsoft-Windows-SMBServer/Operational" |
Where-Object { $_.LevelDisplayName -eq "Error" } |
Select-Object TimeCreated, Message |
Select-Object -First 20
Snapshot: Berechtigungsstruktur für ein typisches KMU
Hier ein konkretes Beispiel, wie eine saubere Freigabestruktur für eine Firma mit drei Abteilungen aussehen könnte:
\\fileserver\Firma\ ← Freigabe "Firma"
├── Allgemein\ ← Alle Mitarbeiter: Lesen
├── Buchhaltung\ ← Nur Buchhaltung: Ändern
├── IT\ ← Nur IT: Ändern
└── Geschäftsleitung\ ← Nur GL: Ändern, andere: kein Zugriff (ABE versteckt)
AD-Gruppen:
| Globale Gruppe | Domain-Lokale Gruppe | NTFS-Recht |
|---|---|---|
| GG-Alle-MA | DL-Firma-Allgemein-Lesen | Lesen |
| GG-Buchhaltung | DL-Firma-Buchhaltung-Aendern | Ändern |
| GG-IT | DL-Firma-IT-Vollzugriff | Vollzugriff |
| GG-GL | DL-Firma-GL-Aendern | Ändern |
Share-Berechtigung: Authentifizierte Benutzer – Vollzugriff (einmal, für alle)
Zusammenhang mit anderen Themen
Dateifreigaben sind selten isoliert – sie hängen eng mit folgenden Bereichen zusammen:
- Active Directory – Grundlagen: User und Gruppen, die du in den ACLs verwendest, kommen aus dem AD
- Active Directory – User & Gruppen: Konkret: Gruppen anlegen und User zuweisen für das A-G-DL-P-Modell
- Group Policy (GPO) – Grundlagen: Netzlaufwerke per GPO automatisch verbinden
- Windows Server – Backup & Restore: Was nützt die schönste Berechtigungsstruktur, wenn keine Backups laufen?
- PowerShell – IT-Alltag: Berechtigungen, Freigaben und ACLs per Skript verwalten
Weiterlernen
- Freigabe- und NTFS-Berechtigungen – Microsoft Learn (de)
- SMB-Sicherheitsverbesserungen – Microsoft Learn (de)
- New-SmbShare – PowerShell-Referenz
- Set-SmbShare – PowerShell-Referenz
- NTFS Permissions Best Practices – Netwrix (en)
- Best Practices zur Verwaltung von NTFS-Berechtigungen – WindowsPro.de
Videos
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …