Dateiserver mit NTFS- und Freigabeberechtigungen richtig einrichten

Dateiserver mit NTFS- und Freigabeberechtigungen richtig einrichten ist eine der häufigsten Aufgaben im Windows-Server-Alltag – und gleichzeitig eine der fehleranfälligsten. Windows Server 2022 und 2025 nutzen zwei unabhängige Berechtigungsebenen: die Freigabeberechtigungen (Share-Level) und die NTFS-Berechtigungen (Dateisystem-Level). Beim Netzwerkzugriff gilt stets das restriktivste Recht aus beiden Ebenen. Wer das nicht versteht, baut sich unweigerlich ein Rechte-Chaos. Diese Anleitung zeigt dir, wie du eine SMB-Freigabe sauber aufsetzt, NTFS-Rechte korrekt vergibst, das AGDLP-Prinzip lebst und häufige Fehler von vornherein vermeidest – sowohl per GUI im Server Manager als auch per PowerShell und icacls.

Voraussetzungen

• Windows Server 2022 oder 2025 (On-Premises, Domänenumgebung empfohlen)
• Rolle Dateidienste und Speicherdienste (File and Storage Services) installiert, darin mindestens Dateiserver
• Lokale Administratorrechte oder Domänen-Administratorrechte auf dem Server
• PowerShell 5.1 oder höher (auf Windows Server 2022/2025 standardmäßig vorhanden)
• Active Directory-Domäne für AGDLP (empfohlen; Workgroup-Betrieb eingeschränkt möglich)
• NTFS-formatiertes Datenvolume (z. B. D:\) für die Freigaben

Schritt 1: Dateidienste-Rolle installieren

Falls die Rolle noch nicht installiert ist, holst du das über den Server Manager oder PowerShell nach.

GUI (Server Manager)

Öffne den Server Manager, klicke auf Verwalten → Rollen und Features hinzufügen. Wähle Rollenbasierte oder featurebasierte Installation, dann deinen Server. Unter Serverrollen klappe Dateidienste und Speicherdienste auf und hake Dateiserver an. Bestätige mit Installieren.

PowerShell

# Dateidienste-Rolle installieren
Install-WindowsFeature -Name FS-FileServer -IncludeManagementTools

Schritt 2: Ordner anlegen und Freigabe erstellen

Lege zunächst den Zielordner auf deinem Datenvolume an. Danach erstellst du die SMB-Freigabe. Die Freigabeberechtigungen setzt du dabei bewusst weit – die eigentliche Steuerung übernehmen die NTFS-Rechte in Schritt 3.

GUI (Server Manager)

Im Server Manager: Datei- und Speicherdienste → Freigaben → TASKS → Neue Freigabe. Wähle das Profil SMB-Freigabe – Schnell oder SMB-Freigabe – Erweitert (letzteres bietet ABE und Kontingente direkt im Assistenten). Gib Serverlaufwerk und Pfad an, vergib einen Freigabenamen. Auf der Seite Berechtigungen klicke auf Berechtigungen anpassen und setze die Freigabeberechtigungen auf Jeder = Vollzugriff.

Alternativ per Rechtsklick auf den Ordner im Explorer: Eigenschaften → Freigabe → Erweiterte Freigabe → Diesen Ordner freigeben, Freigabenamen eingeben, auf Berechtigungen klicken, Jeder hinzufügen und Vollzugriff erteilen.

PowerShell

# Ordner anlegen
New-Item -ItemType Directory -Path 'D:\SharedData'

# SMB-Freigabe erstellen
# Freigabeberechtigung: Administratoren = Vollzugriff, alle anderen = Aendern
# (NTFS regelt die Feinsteuerung)
New-SmbShare `
    -Name 'DataShare' `
    -Path 'D:\SharedData' `
    -FullAccess 'Administrators' `
    -ChangeAccess 'Jeder'

Der Parameter -ChangeAccess 'Jeder' entspricht der Freigabeberechtigung Ändern für alle Benutzer. Das ist ausreichend weit, damit die NTFS-Rechte ungehindert greifen können. Wer lieber Vollzugriff für alle setzt, nutzt stattdessen -FullAccess 'Jeder' – beide Varianten sind praxiserprobt, solange NTFS die Feinsteuerung übernimmt.

Schritt 3: NTFS-Berechtigungen setzen (Kernaufgabe)

NTFS-Berechtigungen sind das eigentliche Steuerungswerkzeug. Hier legst du fest, wer lesen, schreiben, ändern oder vollständig zugreifen darf. Vergib Rechte ausschließlich auf Gruppen, nie auf einzelne Benutzerkonten (siehe AGDLP, Schritt 4).

Standard-NTFS-Rechtestufen

Rechtestufe	icacls-Kürzel	Beschreibung
Vollzugriff	F	Lesen, Schreiben, Ändern, Löschen, Berechtigungen ändern
Ändern	M	Lesen, Schreiben, Löschen – kein Rechte-Management
Lesen & Ausführen	RX	Dateien öffnen und Programme starten
Lesen	R	Nur lesender Zugriff
Schreiben	W	Neue Dateien anlegen, vorhandene überschreiben

GUI (Ordner-Eigenschaften)

Rechtsklick auf den Ordner → Eigenschaften → Sicherheit → Bearbeiten. Klicke auf Hinzufügen, gib den Gruppenname ein, wähle die passende Rechtestufe und stelle unter Gilt für sicher, dass Diesen Ordner, Unterordner und Dateien ausgewählt ist.

PowerShell (Set-Acl)

# Aktuelle ACL lesen
$acl = Get-Acl -Path 'D:\SharedData'

# Vererbung unterbrechen, vorhandene Eintraege beibehalten
$acl.SetAccessRuleProtection($true, $true)

# Neue Regel: CONTOSO\DL-DataShare-RW bekommt Aendern-Rechte
# Vererbungsflags: ContainerInherit = Unterordner, ObjectInherit = Dateien
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule(
    'CONTOSO\DL-DataShare-RW',
    'Modify',
    'ContainerInherit,ObjectInherit',
    'None',
    'Allow'
)
$acl.AddAccessRule($rule)

# Lesende Gruppe hinzufuegen
$ruleRead = New-Object System.Security.AccessControl.FileSystemAccessRule(
    'CONTOSO\DL-DataShare-RO',
    'ReadAndExecute',
    'ContainerInherit,ObjectInherit',
    'None',
    'Allow'
)
$acl.AddAccessRule($ruleRead)

# ACL schreiben
Set-Acl -Path 'D:\SharedData' -AclObject $acl

icacls (Kommandozeile, rekursiv)

# Berechtigung rekursiv vergeben
# (OI) = Objekt erbt (Dateien), (CI) = Container erbt (Unterordner)
icacls "D:\SharedData" /grant "CONTOSO\DL-DataShare-RW:(OI)(CI)M" /T /C

# Lesende Gruppe
icacls "D:\SharedData" /grant "CONTOSO\DL-DataShare-RO:(OI)(CI)RX" /T /C

# Aktuelle Berechtigungen anzeigen
icacls "D:\SharedData"

Das Flag /T wendet die Regel rekursiv auf alle Unterordner und Dateien an. Das Flag /C setzt die Verarbeitung bei Fehlern (z. B. gesperrte Dateien) fort.

Schritt 4: AGDLP-Prinzip umsetzen

AGDLP steht für Account → Globale Gruppe → Domänenlokale Gruppe → Location (Berechtigung). Es ist das Microsoft-empfohlene Modell für skalierbare Rechtevergabe in Active-Directory-Umgebungen.

• Konten (A) – einzelne Benutzerkonten oder Computerkonten
• Globale Gruppen (G) – fassen Benutzer nach Abteilung oder Rolle zusammen, z. B. GG-Buchhaltung. Globale Gruppen sind domänenübergreifend verwendbar.
• Domänenlokale Gruppen (DL) – stehen direkt an der Ressource und erhalten die NTFS-Berechtigung. Beispiel: DL-DataShare-RW (Schreibzugriff) und DL-DataShare-RO (Lesezugriff).
• Berechtigung – wird ausschließlich der domänenlokalen Gruppe zugewiesen, nie direkt einem Benutzerkonto.

Möchte ein neuer Mitarbeiter Schreibzugriff erhalten, nimmst du ihn in GG-Buchhaltung auf. GG-Buchhaltung ist bereits Mitglied von DL-DataShare-RW, die wiederum die NTFS-Berechtigung Ändern hat. Kein Eingriff in die NTFS-ACL nötig.

# Globale Gruppe anlegen
New-ADGroup -Name 'GG-Buchhaltung' -GroupScope Global -Path 'OU=Gruppen,DC=contoso,DC=local'

# Domaenenlokale Gruppen anlegen
New-ADGroup -Name 'DL-DataShare-RW' -GroupScope DomainLocal -Path 'OU=Gruppen,DC=contoso,DC=local'
New-ADGroup -Name 'DL-DataShare-RO' -GroupScope DomainLocal -Path 'OU=Gruppen,DC=contoso,DC=local'

# Globale Gruppe in domаenenlokale Gruppe aufnehmen
Add-ADGroupMember -Identity 'DL-DataShare-RW' -Members 'GG-Buchhaltung'

# Benutzer in globale Gruppe aufnehmen
Add-ADGroupMember -Identity 'GG-Buchhaltung' -Members 'max.mustermann'

Weitere Informationen zur Active-Directory-Struktur findest du in der Anleitung Active Directory Domäne einrichten: Benutzer und OUs verwalten.

Schritt 5: Vererbung verstehen und kontrolliert unterbrechen

Standardmäßig erben Unterordner und Dateien die NTFS-Berechtigungen des übergeordneten Ordners. Das ist in den meisten Fällen gewünscht. Wenn du für einen Unterordner abweichende Rechte brauchst, musst du die Vererbung gezielt unterbrechen.

Wann Vererbung unterbrechen?

• Ein Unterordner soll nur von einer bestimmten Gruppe lesbar sein, nicht von allen Mitgliedern der übergeordneten Gruppe.
• Ein Projektordner soll nach Abschluss eingefroren werden (nur noch Lesen).
• Abteilungsordner innerhalb einer gemeinsamen Freigabe mit unterschiedlichen Rechtestufen.

GUI

Rechtsklick auf den Unterordner → Eigenschaften → Sicherheit → Erweitert → Vererbung deaktivieren. Wähle Vererbte Berechtigungen in explizite Berechtigungen für dieses Objekt konvertieren, um alle bisherigen Rechte zu übernehmen und dann gezielt anzupassen.

icacls

# Vererbung deaktivieren, vorhandene ACEs beibehalten (d = disable, keep)
icacls "D:\SharedData\Projektordner" /inheritance:d

# Unerwuenschte geerbte Eintraege danach entfernen
icacls "D:\SharedData\Projektordner" /remove:g "CONTOSO\DL-DataShare-RW"

# Abweichende Gruppe mit eingeschraenktem Recht hinzufuegen
icacls "D:\SharedData\Projektordner" /grant "CONTOSO\DL-Projekt-RO:(OI)(CI)RX" /T /C

# Kaputte Vererbungskette pruefen
icacls "D:\SharedData" /verify /T

# Vererbung komplett zuruecksetzen
icacls "D:\SharedData\Projektordner" /reset /T

ACL sichern und wiederherstellen

# ACL-Zustand sichern
icacls "D:\SharedData" /save C:\Backup\aclfile.txt /T

# ACL wiederherstellen
icacls "D:\SharedData" /restore C:\Backup\aclfile.txt

Schritt 6: Access-Based Enumeration (ABE) aktivieren

Mit ABE (zugriffsbasierte Aufzählung) sehen Benutzer im Explorer nur noch die Ordner und Dateien, auf die sie tatsächlich Zugriff haben. Ohne ABE werden alle Objekte aufgelistet, auch wenn der Zugriff verweigert wird. ABE verbessert die Übersichtlichkeit und verhindert, dass Benutzer von Ordnern wissen, auf die sie keinen Zugriff haben.

GUI (Server Manager)

Im Server Manager: Datei- und Speicherdienste → Freigaben. Rechtsklick auf die Freigabe → Eigenschaften → Einstellungen. Hake Zugriffsbasierte Aufzählung aktivieren an und bestätige.

PowerShell

# ABE aktivieren
Set-SmbShare -Name 'DataShare' -FolderEnumerationMode AccessBased

# Status pruefen
Get-SmbShare -Name 'DataShare' | Select-Object Name, FolderEnumerationMode

Der Standardwert ist Unrestricted (alle Objekte sichtbar). Nach der Aktivierung werden Ordner ohne Zugriffsrecht unsichtbar. Teste nach der Aktivierung mit einem Testkonto, ob die erwarteten Ordner sichtbar sind – fehlende Ordner können Benutzer verwirren.

Schritt 7: Effektive Berechtigungen prüfen

Nach jeder Änderung solltest du die effektiven Berechtigungen eines Benutzerkontos prüfen. Das restriktivste-gewinnt-Prinzip kann unerwartete Ergebnisse erzeugen, wenn Freigabe- und NTFS-Rechte nicht aufeinander abgestimmt sind.

GUI (Erweiterte Sicherheitseinstellungen)

Rechtsklick auf den Ordner → Eigenschaften → Sicherheit → Erweitert → Effektiver Zugriff. Wähle ein Benutzerkonto aus und klicke auf Effektiven Zugriff anzeigen. Das Tool zeigt die kombinierten Rechte aus NTFS und Freigabe.

PowerShell

# NTFS-ACL auslesen und formatieren
Get-Acl -Path 'D:\SharedData' | Format-List

# Freigabeberechtigungen anzeigen
Get-SmbShareAccess -Name 'DataShare'

# Alle SMB-Freigaben auf dem Server auflisten
Get-SmbShare | Select-Object Name, Path, FolderEnumerationMode

Das restriktivste-gewinnt-Prinzip

Bei Netzwerkzugriff gilt: Effektives Recht = MIN(Freigabeberechtigung, NTFS-Berechtigung). Ein Benutzer mit NTFS-Recht Vollzugriff und Freigabeberechtigung Lesen erhält über das Netzwerk nur Lesezugriff. Deshalb setzt man die Freigabeberechtigung großzügig und steuert alles über NTFS. Beim lokalen Zugriff direkt am Server gelten nur die NTFS-Rechte.

Schritt 8: Freigabe mit vollständiger Konfiguration (Zusammenfassung)

Das folgende Skript fasst alle Schritte zusammen: Ordner anlegen, Freigabe erstellen, NTFS-Rechte setzen, ABE aktivieren.

# -------------------------------------------------------
# Dateiserver-Setup: DataShare (Zusammenfassung)
# -------------------------------------------------------

$SharePath  = 'D:\SharedData'
$ShareName  = 'DataShare'
$GroupRW    = 'CONTOSO\DL-DataShare-RW'
$GroupRO    = 'CONTOSO\DL-DataShare-RO'
$AdminGroup = 'Administrators'

# 1. Ordner anlegen
New-Item -ItemType Directory -Path $SharePath -Force

# 2. Freigabe erstellen
New-SmbShare `
    -Name $ShareName `
    -Path $SharePath `
    -FullAccess $AdminGroup `
    -ChangeAccess 'Jeder'

# 3. NTFS-ACL konfigurieren
$acl = Get-Acl -Path $SharePath

# Vererbung unterbrechen, bestehende ACEs behalten
$acl.SetAccessRuleProtection($true, $true)

# Schreibgruppe: Aendern (Modify)
$ruleRW = New-Object System.Security.AccessControl.FileSystemAccessRule(
    $GroupRW, 'Modify', 'ContainerInherit,ObjectInherit', 'None', 'Allow'
)

# Lesegruppe: Lesen & Ausfuehren
$ruleRO = New-Object System.Security.AccessControl.FileSystemAccessRule(
    $GroupRO, 'ReadAndExecute', 'ContainerInherit,ObjectInherit', 'None', 'Allow'
)

$acl.AddAccessRule($ruleRW)
$acl.AddAccessRule($ruleRO)
Set-Acl -Path $SharePath -AclObject $acl

# 4. ABE aktivieren
Set-SmbShare -Name $ShareName -FolderEnumerationMode AccessBased

Write-Host "Freigabe '$ShareName' erfolgreich eingerichtet."

Troubleshooting

• Zugriff verweigert, obwohl NTFS-Rechte stimmen: Prüfe die Freigabeberechtigungen mit Get-SmbShareAccess -Name 'DataShare'. Wenn die Freigabe nur Lesen erlaubt, können NTFS-Änderungsrechte nicht genutzt werden – restriktivste-gewinnt.
• Benutzer sieht keine Ordner (nach ABE-Aktivierung): Überprüfe, ob die Gruppe des Benutzers in der NTFS-ACL eingetragen ist. Mit Effektiver Zugriff (GUI) oder Get-Acl prüfen.
• icacls-Rechte gelten nicht für Unterordner: Das Flag /T vergessen. Befehl mit /T /C wiederholen.
• Vererbungskette kaputt: icacls "D:\SharedData" /verify /T ausführen. Bei Fehlern icacls "D:\SharedData" /reset /T für betroffene Unterordner, dann neu setzen.
• Zu viele Einzelrechte, unübersichtliche ACL: Berechtigungen auf Benutzerkonten entfernen, stattdessen AGDLP-Gruppen verwenden. icacls "D:\SharedData" /remove:g "CONTOSO\max.mustermann"
• Lokaler Zugriff funktioniert, Netzwerkzugriff nicht: Prüfe, ob die Windows-Firewall den Port 445 (SMB) blockiert. Get-NetFirewallRule -DisplayGroup "Datei- und Druckerfreigabe"
• Änderungen greifen erst nach neuem Login: Gruppenänderungen in Active Directory werden erst nach dem nächsten Anmelden (neues Kerberos-Ticket) wirksam. Benutzer muss sich ab- und wieder anmelden.

Häufige Fragen

Was ist der Unterschied zwischen Freigabe- und NTFS-Berechtigungen?

Freigabeberechtigungen gelten nur bei Netzwerkzugriff (über den UNC-Pfad \\Server\Freigabe) und kennen nur drei Stufen: Lesen, Ändern, Vollzugriff. NTFS-Berechtigungen gelten immer – lokal und über das Netzwerk – und sind deutlich granularer. Bei Netzwerkzugriff wird das restriktivste Recht aus beiden Ebenen angewendet.

Warum soll ich die Freigabeberechtigung auf Vollzugriff setzen?

Wenn du die Feinsteuerung ausschließlich über NTFS machst, brauchst du die Freigabeberechtigung als Flaschenhals nicht. Durch die weite Freigabeberechtigung entfällt eine Fehlerquelle: Du musst nur noch die NTFS-ACL pflegen und musst nicht zwei Ebenen gleichzeitig im Kopf behalten. Administratoren und das IT-Team können so einfacher debuggen.

Was bedeutet AGDLP und warum ist es wichtig?

AGDLP (Account → Globale Gruppe → Domänenlokale Gruppe → Berechtigung) ist das Microsoft-empfohlene Gruppenmodell. Es verhindert, dass Benutzerkonten direkt in NTFS-ACLs auftauchen, und macht Rechtevergabe skalierbar: Neue Mitarbeiter werden nur in globale Gruppen aufgenommen, ohne dass ACLs angefasst werden müssen. Die Anleitung Active Directory Domäne einrichten erklärt den Aufbau von OUs und Gruppen ausführlich.

Wie unterscheiden sich NTFS-Rechte von Linux-Dateiberechtigungen?

Linux nutzt ein einfacheres Modell mit Eigentümer, Gruppe und Anderen (chmod rwx) sowie sudo für administrative Aktionen. Windows-NTFS-ACLs sind feingranularer: mehrere Gruppen, Vererbungsflags, explizite Verweigerungen, erweiterte Attribute. Das Grundprinzip – wer darf lesen, schreiben, ausführen – ist ähnlich. Einen direkten Vergleich findest du in der Anleitung Linux-Benutzer, Gruppen und Rechte: chmod, chown und sudo.

Was passiert, wenn ich die Vererbung unterbreche und dann vergesse, explizite Rechte zu setzen?

Dann kann niemand mehr auf den Unterordner zugreifen – außer lokalen Administratoren, die über Besitz übernehmen immer Zugang haben. Prüfe nach dem Unterbrechen der Vererbung sofort mit Effektiver Zugriff, ob die benötigten Gruppen noch Zugriff haben.

Kann ich die Berechtigungen sichern und auf einem anderen Server wiederherstellen?

Ja, mit icacls: icacls "D:\SharedData" /save C:\Backup\aclfile.txt /T sichert alle ACEs rekursiv. Mit icacls "D:\SharedData" /restore C:\Backup\aclfile.txt stellst du sie wieder her. Beachte, dass SIDs (Sicherheits-IDs) domänengebunden sind – ein Restore auf einen anderen Server in derselben Domäne funktioniert; ein domänenübergreifender Restore erfordert SID-Mapping.

Fazit

Ein sauber eingerichteter Dateiserver auf Windows Server 2022/2025 folgt einem klaren Muster: SMB-Freigabe mit weiter Freigabeberechtigung (Jeder = Vollzugriff oder Ändern), Feinsteuerung ausschließlich über NTFS-Berechtigungen, Gruppen nach AGDLP-Prinzip strukturiert und ABE aktiviert. Wer zusätzlich icacls-Snapshots regelmäßig sichert und mit /verify die Vererbungskette überwacht, verhindert das Entstehen von Rechte-Chaos über Zeit. Sowohl die GUI-Wege im Server Manager als auch PowerShell-Cmdlets wie New-SmbShare, Set-Acl und Set-SmbShare führen zum Ziel – PowerShell hat den Vorteil, dass du das Setup dokumentieren, versionieren und reproduzieren kannst.

Weiterführende Anleitungen und Quellen

• Active Directory Domäne einrichten: Benutzer und OUs verwalten
• Gruppenrichtlinien (GPO): Grundlagen und Praxiseinsatz
• Linux-Benutzer, Gruppen und Rechte: chmod, chown und sudo
• Alle Windows-Server-Anleitungen auf s-edv.com

Quellen: Microsoft Learn – New-SmbShare (Windows Server 2025), icacls-Referenz, Freigabe- und NTFS-Berechtigungen, Access-Based Enumeration.