WINDOWS-DATEI-FREIGABE
Empfohlene Vorgehensweise für die Windows-Dateifreigabe
Traditionell beschränkte sich die Windows-Dateifreigabe auf das Erstellen von Freigaben auf lokalen Servern, das Festlegen von Berechtigungen und den Zugriff auf Dateien über lokale Netzwerke oder VPNs. Die Windows-Dateifreigabe bietet viele Vorteile, darunter die Zugriffsgeschwindigkeit, Einfachheit, unbegrenzte Speicherkapazitäten, Integration mit dem Aktiven Verzeichnis oder Active Directory und die Möglichkeit, zugeordnete Laufwerke mithilfe von Anmeldeskripten oder Gruppenrichtlinien sofort auf Tausende von Computern bereitzustellen. Aus diesem Grund investiert die Mehrheit der Unternehmen weiterhin erheblich in eine Windows-Dateifreigabeinfrastruktur, einschließlich von Servern, Hochgeschwindigkeitsnetzwerken, Speichernetzwerken (den SAN) und Netzwerkspeichergeräten. Diese Geräte bieten die Zuverlässigkeit, Geschwindigkeit und Redundanz, die Unternehmen für eine hocheffiziente Arbeitskraft benötigen.
Inhalt
Windows-Dateifreigaben
Die gemeinsame Nutzung von Dateien mit Windows Active Directory ist einfach. Es ist wichtig, zuerst die Verzeichnisstruktur zu planen. Unternehmen erstellen normalerweise Stammordner, die wiederum zu Freigaben werden und die verschiedenen Abteilungen zugeordnet werden können (z. B.: Finanzen, Projekte, Führungskräfte, Personal). In der Vergangenheit haben Unternehmen jeder Abteilung unterschiedliche Laufwerksbuchstaben zugeordnet. Dies ist nicht mehr erforderlich, da Microsoft die Funktion „Zugriffsbasierte Aufzählung“ wie unten beschrieben hinzugefügt hat.
Es ist auch wichtig, zukünftiges Wachstum zu planen, indem Sie ausreichend Speicherplatz für Dateien zuweisen. Es empfiehlt sich, Dateien auf einem anderen Laufwerksbuchstaben als die Betriebssystemlaufwerke zu lokalisieren, um zukünftige Probleme mit dem Speicherplatz oder einen Ausfall des Betriebssystems durch beschädigte Dateien zu vermeiden. Größere Organisationen speichern Dateien in der Regel auf Network Attached Storage-Appliances mit integriertem Failover und Backup und verwenden den DFS-Namespace, um Benutzer auf redundante Back-End-Dateiserver umzuleiten.
Windows-Dateiserverfreigaben können mit dem Server-Manager erstellt werden oder Sie können mit der rechten Maustaste auf einen beliebigen Ordner klicken und auf der Registerkarte Freigabe auf „Freigabe“ klicken, um eine Freigabe zu erstellen, die von PCs mappiert werden können. Microsoft hat auf dem folgenden Link einen großartigen Artikel zum Erstellen einer Dateifreigabe mit dem Server-Manager Hier zum Artikel. Für unsere Zwecke erstellen wir eine Freigabe mithilfe des manuellen Prozesses, damit wir die vollständige Kontrolle über Berechtigungen, Freigabenamen und Freigabeberechtigungen haben.
Nachdem Sie die Ordnerstruktur erstellt haben, klicken Sie mit der rechten Maustaste auf den Ordner und wählen Sie Eigenschaften, dann wählen Sie Freigabe, um die Freigabe zu erstellen und Berechtigungen festzulegen:
Normalerweise würden Sie verschiedene Gruppen hinzufügen, für die Sie Zugriff auf Ihre Ordnerstruktur haben möchten. Mit der vereinfachten Benutzeroberfläche wird die eigentliche Freigabeerstellung und die Berechtigungsdetails für Sie voreingestellt festgelegt. Über die Oberfläche Erweiterte Freigabe können wir die verwendete Berechtigung sehen, die sowohl auf die Freigabe als auch auf NTFS angewendet wird.
Beim Freigeben von Ordnern in Windows gibt es zwei Komponenten. Zuerst der tatsächliche Freigabename sowie die Berechtigung für die Freigabe, und die zugrunde liegenden NTFS-Berechtigungen. In den frühen Tagen der Windows-Dateisysteme (Fat und Fat32) war das Festlegen von Berechtigungen nicht zulässig, sodass Microsoft Administratoren erlaubte Berechtigungen für die Freigabe selbst und nicht für die darunter liegende Ordnerstruktur festzulegen. Glücklicherweise gibt es NTFS schon seit vielen Jahren und es ist nicht mehr notwendig oder ratsam, Berechtigungen an der Dateifreigabe Ebene festzulegen. Sie werden beim verwenden der Benutzeroberfläche von Easy Share sehen, dass die Berechtigungen auf der Berechtigungsebene auf die spezielle Gruppe „Jeder“ eingestellt ist und volle Kontrolle erlaubt.
Es ist also klar, dass wir die Berechtigung für die Freigabe immer auf „Jeder“ mit voller Kontrolle setzen sollten wenn wir die erweiterte Berechtigungsoption verwenden möchten, um diese Legacy-Funktion zu umgehen und nur NTFS-Berechtigungen zum Anwenden von Sicherheit zu verwenden. Ein zusätzlicher Hinweis zu Dateifreigaben und Benennung – um die Freigabe zu verbergen (sie nicht zum Durchsuchen im Netzwerk zu übertragen), fügen Sie ein $-Zeichen an das Ende des Namens an. Beispiel: Finance$ kann verwendet werden, um zu verhindern, dass die Freigabe angezeigt wird, wenn Benutzer im Netzwerk surfen. Um ein Laufwerk auf diesen Ordner zu mappieren, müssen Benutzer den Namen kennen – zum Beispiel \\server\finance$.
Als nächstes müssen wir Berechtigungen für Ordner mit NTFS-Sicherheit festlegen. Wenn wir uns die Sicherheitsberechtigungen für den freigegebenen Ordner ansehen, den wir in unserem Beispiel erstellt haben, sehen wir, dass den von uns ausgewählten Benutzergruppen Berechtigungen für diesen freigegebenen Ordner erteilt wurden:
Von dieser Schnittstelle aus können wir zusätzliche Benutzer und Gruppen hinzufügen oder die Vererbung deaktivieren, sodass wir benutzerdefinierte Berechtigungen nur auf diesen Ordner anwenden können. Über diese Schnittstelle definieren wir auch den Eigentümer von Dateien und Ordnern. In den Sicherheitsergebnissen des Easy Share-Assistenten können wir sehen, dass beide Gruppen die wir hinzugefügt haben, „Volle Kontrolle“ für alle Dateien und Ordner haben. Während Vollzugriff für Administratoren sinnvoll ist, ist es für normale Benutzergruppen nicht ratsam. Indem wir regulären Benutzern Vollzugriff gewähren, haben wir ihnen auch das Recht „Eigentum übernehmen“, was später zu Problemen führen wird. Dateien, die einem Benutzer „gehören“, können für andere Benutzer nicht mehr verfügbar sein, was zu Supportanfragen und der Notwendigkeit führt, dass der Administrator „den Besitz übernimmt“, damit diese Dateien wieder für alle mit Rechten auf die Freigabe verfügbar sind. In unserem Beispiel möchten wir der Gruppe „Domänenbenutzer“ alle Rechte außer „Vollzugriff“ zuweisen, indem wir die Eigenschaften der Registerkarte „Sicherheit“ für den Ordner verwenden. Dieser einfache Schritt verhindert zukünftige Probleme bei der Behebung von Dateibesitz.
Microsoft hat ein integriertes Dienstprogramm in Windows, um Eigentumsprobleme namens „Takeown“ zu beseitigen. Wir empfehlen Kunden, bestehende Eigentumsprobleme vor der Bereitstellung von MyWorkDrive zu bereinigen. Dieser Befehl übernimmt das Eigentum des Ordners oder Laufwerks und aller Dateien und Unterordner im Ordner oder Laufwerk.
Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten (Administrator).
So erteilen Sie der Administratorengruppe die Eigentümerschaft:
takeown /F „vollständiger Pfad des Ordners oder Laufwerks“ /A /R /D Y
Eine weitere Option zum Bereinigen von Eigentumsrechten ist die Verwendung des Befehls icacls.
So erteilen Sie der Administratorengruppe die Eigentümerschaft:
icacls „Vollständiger Pfad des Ordners oder Laufwerks“ /setowner „Administratoren“ /T /C
Zugriffsbasierte Aufzählung mit Windows-Dateifreigabe
Die zugriffsbasierte Aufzählung (Access-based enumeration - ABE) zeigt nur die Dateien und Ordner an, für die ein Benutzer Zugriffsberechtigungen hat. Wenn ein Benutzer nicht über Leseberechtigungen (oder gleichwertige Berechtigungen) für einen Ordner verfügt, blendet Windows den Ordner aus der Sicht des Benutzers aus. Diese Funktion ist nur aktiv, wenn Dateien und Ordner in einem freigegebenen Ordner angezeigt werden; es ist nicht aktiv, wenn Dateien und Ordner im lokalen Dateisystem angezeigt werden. Durch die Verwendung dieser Funktion und das Festlegen der richtigen Berechtigungen können Netzwerkadministratoren die Anzahl der erforderlichen Freigaben reduzieren und ABE verwenden, um nur Dateien und Ordner für die der Benutzer Berechtigungen hat anzuzeigen, wenn auf diese über UNC-Pfade zugegriffen wird.
ABE benötigt CPU-Zyklen, um die anzuzeigenden Dateien und Ordner zu berechnen, daher ist es wichtig, die Server richtig zu dimensionieren, um die erforderliche Last basierend auf der Anzahl der Benutzer, die auf Dateifreigaben zugreifen, und der Anzahl der anzuzeigenden Dateien und Ordner zu bewältigen.
Aktivieren Sie ABE auf jeder Windows-Dateifreigabe mithilfe der Microsoft-Anleitung: Aktivieren der zugriffsbasierten Aufzählung für einen Namespace. Microsoft hat einen vollständigen Gildenartikel für empfohlene Vorgehensweisen für die gemeinsame Nutzung von Dateien und Ordnern mit zugriffsbasierter Aufzählung Hier.
DFS-Namespace
DFS-Namespace ist eine Rolle in Windows Server, mit der Sie freigegebene Ordner, die sich auf verschiedenen Servern befinden, in einem oder mehreren logisch strukturierten Namespaces gruppieren können. Dadurch ist es möglich, Benutzern eine virtuelle Ansicht von freigegebenen Ordnern zu geben, wobei ein einziger Pfad zu Dateien führt, die sich auf mehreren Servern befinden. Der Vorteil von DFS besteht darin, dass Laufwerke einem DFS-Namespace zugeordnet und automatisch auf die dann aktuelle Live-Dateifreigabe umgeleitet werden können. Dies macht die zukünftige Migration auf neue Dateiserver sehr einfach, da jederzeit auf einen neuen Dateiserver umgeleitet werden kann.
Sicherung und Aufbewahrung
Die erste Verteidigungslinie für jedes Unternehmen sind effektive, getestete und redundante Backups. Zusätzlich zur Planung von Backups in stündlichen, täglichen, wöchentlichen oder anderen Intervallen können IT-Administratoren den in Windows Server integrierten „Laufwerk-Schatten-Kopie“-Dienst nutzen. Durch die Aktivierung stündlicher Snapshots können Dateien und Ordner sofort auf frühere Versionen zurückgesetzt werden, ohne auf Backup-Systeme zurückgreifen zu müssen. Laufwerk-Kopie Snapshots sind an sich keine Backup-Strategie, aber sie können ein zusätzliches Maß an Schutz bieten.
Sicherung und Aufbewahrung sind ebenfalls von großer Bedeutung, um vor Datenverlust und -korruption zu schützen und gesetzliche Anforderungen einzuhalten. In der Regel müssen die meisten Unternehmen Backups bis zu 7 Jahre aufbewahren, die in Zukunft problemlos wiederhergestellt werden können. Aus diesem Grund zögern Unternehmen, ihre Dateien in datenbankgestützten Dateisystemen entweder lokal oder in der Cloud zu speichern, einschließlich Dokumentenverwaltungssystemen (DMS) und Enterprise File Sync & Share (EFSS)-Systemen. Mit herkömmlicher NTFS-basierter Windows-Dateifreigabe können Archiv-Backups auf Backup-Festplatten gespeichert werden, was die Wiederherstellung so einfach macht wie das Kopieren von Dateien – sogar mehrere Jahre später. Bei DMS- oder EFSS-Systemen ist die Wiederherstellung von Archivdaten deutlich aufwändiger. Die Wiederherstellung erfordert die Sicherung und Wiederherstellung ganzer Betriebssysteme, die Neuinstallation der zu diesem Zeitpunkt verwendeten SQL-Datenbanken (die möglicherweise nicht mehr verfügbar sind), die Wiederherstellung von Backups von SQL-Daten und die Wiedereingliederung von Servern zurück in Active Directory. Cloud-basierte EFSS oder Systeme erfordern Backup-Abonnements von Drittanbietern, die auf unbestimmte Zeit aufrechterhalten werden müssen, um den Verlust und die Entfernung von Backup-Dateidaten durch den Cloud-Anbieter zu verhindern.
Unternehmen aller Art wenden sich an MyWorkDrive zur Unterstützung von Fernarbeit während Sie die Geschwindigkeit und Einfachheit der traditionellen Windows-Dateifreigabe mit unserem Hybrid-Cloud-Add-on beibehalten. Mit MyWorkDrive richten IT-Abteilungen einfach die MyWorkDrive-Windows-Serversoftware ein, verweisen auf vorhandene Windows-Dateifreigaben und das in wenigen Minuten Sichere Dateifreigabe Die Fernzugriffsfunktion wird Benutzern ohne VPN zur Verfügung gestellt, einschließlich:
Web Datei Manager, der Browserzugriff auf Dateifreigaben
Office Online-Dokumentbearbeitung (mit Dateien, die auf lokalen Dateiservern gespeichert sind)
Zugeordnete Laufwerke von überall ohne VPN
Mobile App Dateizugriff und -bearbeitung mit Microsoft Office Mobilen Apps
Öffentliche und private Dateifreigabe
Zwei-Faktor-Authentifizierung (2FA)
Einmalige Anmeldung
Das traditionelle Windows File Sharing mit Gigabit-Geschwindigkeit ist weiterhin parallel zu MyWorkDrive verfügbar. Benutzer nutzen einfach die Dateifreigabe mit herkömmlichen Methoden im lokalen Netzwerk und verwenden MyWorkDrive, wenn Cloud-Funktionalität oder Fernzugriff benötigt werden. Für IT-Abteilungen müssen keine SQL-Datenbanken verwaltet oder lizenziert werden, was die Dateisicherung und -wiederherstellung vereinfacht – NTFS-basierte Dateifreigaben bleiben bestehen.
Die gemeinsame Nutzung und Zusammenarbeit von Dateien mit Benutzern außerhalb des Unternehmens ist für eine produktive Belegschaft unerlässlich. Mit MyWorkDrive können interne Dateien mit unserer OneDrive-Integration mühelos öffentlich gemacht werden. Durch die Nutzung unserer OneDrive-Integration können Unternehmen sensible Daten schützen, indem sie öffentliche Dateien nach Bedarf auf OneDrive übertragen, ohne interne Systeme für Außenstehende zu öffnen oder unsichere Dateifreigabe-Links zu aktivieren, die Unternehmensserver Datenschutzverletzungen aussetzen können.
Mit MyWorkDrive können Unternehmen aller Art Cloud-Funktionen zu Windows-Dateifreigaben hinzufügen und gleichzeitig ihre Daten schützen und kontrollieren, um ihre Investitionen in die Dateiserverinfrastruktur zukunftssicher zu gestalten.
