heise PlusAbo
Anzeige

Software-Perlen bei Microsoft

Seite 2: Dateien und Freigaben

Inhaltsverzeichnis

Dateien und Freigaben

Das File Server Migration Toolkit hilft beim Umziehen von Freigaben und Daten auf neue Server-Hardware.

Mit dem File Server Migration Toolkit können Dateiserver mitsamt Freigaben und Daten auf neue Hardware migriert werden. Daten, Freigaben und Berechtigungen übernimmt es automatisch. Zum Erscheinungstermin dieses Beitrags bot Microsoft das Programm noch nicht für Windows Server 2008 an; zwischen Windows NT4, 2000 und Server 2003 kann es aber Daten übertragen. Nachdem das Tool auf dem neuen Dateiserver installiert wurde, ruft man den Dateiservermigrations-Assistent auf. Mit ihm legt man das Verzeichnis fest, in das die Daten kopiert werden. Nachdem man den Quell-Server hinzugefügt hat, werden alle Freigaben auf diesem Server in der Liste angezeigt und automatisch markiert. Dann wählt man aus, welche Freigaben auf den neuen Server wandern sollen. Bei der späteren Migration werden die Ordnerstrukturen und die Inhalte der Ordner kopiert. Außerdem gibt der Assistent die Ordner wieder unter dem gleichen Namen frei wie auf dem Quell-Server.

Bei der Auswahl des Quell-Servers kann man wählen, ob die NTFS-Berechtigungen kopiert und die Freigaben auf dem Quell-Dateiserver beendet werden sollen. Das funktioniert sogar mit mehreren Quellen auf einen Rutsch. Der Assistent zeigt nach der Überprüfung die Anzahl der Dateien und die Gesamtgröße der zu migrierenden Daten an. Am Schluss präsentiert das Tool einen detaillierten Bericht.

Microsoft hat 2006 den Windows-Spezialisten Sysinternals übernommen und seine meist kostenlosen und sehr mächtigen Tools in die Technet-Sammlung eingegliedert. Die meisten Programme können nach dem Entpacken sofort verwendet werden. Sie sind meist nur wenige Kilobyte groß, aber extrem hilfreich bei der Fehlersuche in Windows-Netzwerken. Im Forum findet man zahlreiche Anregungen, Tipps und Hilfen zu den Tools. Für das Verwalten von Datei- und Freigaberechten auf Windows-Servern spielen hauptsächlich die drei Programme AccessChk, AccessEnum und ShareEnum eine Rolle. Sie funktionieren außer auf Windows 2000, XP und Server 2003 auch unter Vista und Server 2008.

AccessChk liefert Administratoren auf der Befehlszeile eine ausführliche Liste, welche Rechte ein Benutzer bei Dateien, Diensten oder in der Registry hat. Einige der zahlreichen Optionen erläutern wir im Folgenden:

accesschk [-s][-i|-e][-r][-w][-n][-v][[-k][-c]|[-d]] <Benutzername> <Datei, Verzeichnis, Registrykey oder Dienst>

-c nimmt man, wenn es um einen Dienst geht; mit einem nachgestellten * gibt accesschk die Rechte für alle Systemdienste aus,

-e zeigt den Satz der Integritätsstufen für Vista,

-i zeigt bei Vista die Integritätsstufe für das Objekt,

-k nimmt man fĂĽr die Registry, zum Beispiel hklm\software,

-n|r|w zeigt nur keine|Lese|Schreibrechte an.

Für die Rechte des Administrators auf ein Verzeichnis liest sich der Aufruf so: accesschk Administrator c:\windows\system32 Das Tool zeigt für jede Datei an, ob Leserechte (R), Schreibrechte (W) oder beides (RW) bestehen. accesschk <Benutzer> -cw * verrät, auf welche Windows-Dienste die Benutzergruppe oder der Benutzer Schreibrechte hat. Um die Zugriffsberechtigungen für einen Benutzer auf einen bestimmten Registrykey herauszufinden, nimmt man accesschk -kns contoso\tami hklm\software. Das Tool eignet sich hervorragend, um Server auf Schwachstellen abzuklopfen.

ShareEnum zeigt Freigaben und deren Sicherheitseinstellungen an, entweder für einen Server oder eine ganze Domäne.

AccessEnum bietet eine grafische Oberfläche für AccessChk. Der Verzeichnisname erscheint in der Spalte Path, der Eintrag für das Anwenderkonto in der Spalte Read. Ein Anwender, der beispielsweise in Windows\System32 und alle darunter liegenden Verzeichnisse schreiben darf, aber kein Schreibrecht auf Windows besitzt, wird mit dem Eintrag Windows\Systems32 und dem Namen des Kontos in der Spalte Write dargestellt. So kann AccessEnum trotz der verdichteten Darstellung Konten im Zusammenhang mit der Gruppenzugehörigkeit anzeigen. Das Menü stellt zwei Optionen bereit: Show Local System Account ist standardmäßig aktiv. Schaltet man sie ab, ignoriert das Tool Zugriffsrechte für den lokalen System-Account, der nur von den Windows-Diensten und den Kernkomponenten des Betriebssystems verwendet wird. Nach Aktivieren von File Display Options zeigt AccessEnum Dateien und Ordner immer dann an, wenn ihre Zugriffsrechte von denen des übergeordneten Verzeichnisses abweichen. Damit spürt man leicht potenzielle Sicherheitsprobleme auf. Über die Schaltfläche Registry werden die Berechtigungen innerhalb der Registry gescannt und angezeigt.

ShareEnum zeigt Freigaben und deren Sicherheitseinstellungen an. Das Tool scannt entweder einen IP-Bereich oder alle PCs und Server einer oder aller Domänen. Dafür muss der Nutzer als Domänenadmin angemeldet sein, denn nur dieser hat Rechte auf allen PCs und Servern der Domäne. ShareEnum präsentiert neben der Freigabe auch ihren lokalen Pfad. Will man nur einen Server scannen, trägt man dessen IP-Adresse bei Start und Ende ein. Mit dem Tool werden in einem einzelnen Fenster alle Freigaben im Netzwerk mit den entsprechenden Zugriffsberechtigungen angezeigt.
Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten