Sicherheitsüberlegungen:Implementieren von Cluster-Dateifreigaben

Dieser Artikel wurde zuvor veröffentlicht unter D42146
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
254219 Security Considerations When Implementing Clustered File Shares
Zusammenfassung
Dieser Artikel beschreibt, wie Sie bei Windows 2000-Clustering, und in eingeschränktem Maße bei Windows NT 4.0 Enterprise Server, die Sicherheit für Dateifreigaben einrichten.
Weitere Informationen
Dieser Artikel setzt Grundkenntnisse über die Unterschiede zwischen der Sicherheit auf Freigabenebene und auf Dateisystemebene voraus. Für weitere Informationen lesen Sie bitte die folgenden Artikel in der Microsoft Knowledge Base:
   ARTIKEL-ID: D42142   TITEL     : Ordnerrechte auf Freigabenebene überschreiben Berechtigungen
ARTIKEL-ID: D42140
   TITEL     : Sichern eines gemeinsamen Ordners
Informationen hierzu finden Sie auch in der Windows NT 4.0-Hilfe unter den Begriffen "Berechtigungen", "Sicherheit" und "Freigabe".

Allgemeine Informationen
  • In allen Fällen empfiehlt Microsoft eine einfache Sicherheitsverwaltung. Das Normierungsteam oder die zuständige IT-Abteilung sollten bestimmen, welcher Sicherheitstyp zu verwenden ist, und die Sicherheitseinrichtung auf dieser Ebene vornehmen. Wenn Sie Berechtigungen auf Freigabenebene und Dateisystemebene mischen, kann dies zu erheblichen Verwaltungsproblemen führen. In den meisten Szenarien werden Dateisystem-Berechtigungen bevorzugt.
  • Ungeachtet des Betriebssystems sollten einer lokalen Gruppe keine Berechtigungen für ein Verzeichnis auf dem freigegebenen Laufwerk erteilt werden. Windows 2000- und Windows NT 4.0-Mitgliedsserver verfügen über eigene Benutzerdatenbanken. Einträge für die Zugriffssteuerung, die auf eine lokale SID verweisen, haben nach einem Failover der Speicherplatzressource und der Freigabe auf einen anderen Knoten keine Bedeutung mehr. Theoretisch ist es möglich, lokale Ressourcen auf die Clusterknoten zu replizieren. In der Praxis erfordert diese Vorgehensweise jedoch insgesamt einen zu hohen Systemaufwand, ist anfälliger für Fehler und wird nicht unterstützt.
  • Das Clusterdienstkonto erfordert zumindest NTFS-Leseberechtigungen für das Verzeichnis, um die Freigabe korrekt zu erstellen.
Dateifreigaben nach Typ

Normale Freigabe:
Normale Freigaben sind im Hinblick auf Sicherheitsfragen am flexibelsten und am einfachsten zu handhaben. Der einzige wirkliche Unterschied besteht darin, dass die Sicherheit auf Freigabenebene, unter Verwendung der Cluster-Benutzeroberfläche statt des Windows Explorers, eingerichtet wird. Die Sicherheit auf NTFS-Ebene wird mit dem Windows Explorer eingerichtet. Für weitere Informationen zum Erstellen von Cluster-Dateifreigaben lesen Sie bitte den folgenden Artikel in der Microsoft Knowledge Base:
   ARTIKEL-ID: D42144   TITEL     : Erstellen von Dateifreigaben auf einem Cluster
Freigegebene Unterverzeichnisse:
Freigegebene Unterverzeichnisse sind in den Windows NT-Versionen nach Windows NT 4.0 Service Pack 4 verfügbar. Bei Windows NT 4.0 Service Pack 5 oder höher werden die Freigaben automatisch erstellt und gelöscht. Diese Freigabe ermöglicht es Administratoren, schnell Verzeichnisse zu erstellen, die eine große Anzahl von Freigaben aufnehmen können. Es wird eine Stammfreigabe angegeben, und alle Unterverzeichnisse, die sich eine Ebene unter der angegebenen Stammfreigabe befinden, werden als reguläre Freigaben erstellt. Diese Freigaben übernehmen die gleichen Berechtigungen auf Freigabenebene wie die Stammfreigabe. Wenn dieses Verhalten nicht gewünscht wird, sollten die Berechtigungen auf Freigabenebene der Gruppe "Jeder" erteilt werden und die Sicherheit auf Dateisystemebene eingerichtet werden. Für weitere Informationen zu freigegebenen Unterverzeichnissen lesen Sie bitte die folgenden Artikel in der Microsoft Knowledge Base:
   ARTIKEL-ID: D42141   TITEL     : SP4-Clusterfreigaben: Erkennung hinzugefügter Unterverzeichnisse
ARTIKEL-ID: D42139
   TITEL     : Clusterserver unterstützt nicht mehr als 900 Freigaben
DFS-Stamm:
Ein DFS-Stamm ist nur in Windows 2000 verfügbar. Sie können eigenständige DFS-Stämme in einem Cluster einrichten. Sie können über die Benutzeroberfläche der Clusterverwaltung Berechtigungen auf Freigabenebene für den Stamm verwenden, und Sie können jede Verknüpfung über Dateifreigabe-Berechtigungen auf dem entsprechenden Server verwalten. Diese Methode der Zugriffssteuerung kann jedoch bei DFS-Strukturen, die eine große Anzahl von Servern und Verknüpfungen umfassen, schwierig sein. Es wird empfohlen, DFS-Strukturen zu verwalten, indem die Dateifreigabe-Berechtigungen geöffnet bleiben und die Zugriffsbeschränkung über NTFS-Berechtigungen erfolgt. Beachten Sie, dass bei Verknüpfungen, die auf FAT- oder FAT32-Datenträger verweisen, keine Sicherheit auf Dateisystemebene eingerichtet werden kann.

Für weitere Informationen zu DFS-Stämmen bei Clusterserver lesen Sie bitte die folgenden Artikel in der Microsoft Knowledge Base:
   ARTIKEL-ID: Q220819   TITEL     : How to Configure DFS Root on a Windows 2000 Server Cluster
ARTIKEL-ID: Q241452
   TITEL     : How to Install Distributed File System (DFS) on Windows 2000
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

kbenv
Eigenschaften

Artikelnummer: 254219 – Letzte Überarbeitung: 01/11/2015 03:23:14 – Revision: 2.0

  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • kbnosurvey kbarchive kbenv KB254219
Feedback