In diesem Tutorial für Windows Server 2025 zeige ich Ihnen, wie Sie einen Ordner über die grafische Benutzeroberfläche des Windows-Datei-Explorers und über den Server-Manager freigeben, der die zentrale Verwaltung der verschiedenen Freigaben ermöglicht.
Anschließend werden wir sehen, wie die Konfiguration von Freigaben mit zugriffsbasierter Aufzählung optimiert werden kann.
Um dieses Tutorial zu veranschaulichen, beginnen wir mit einem Fall, der in Unternehmen recht häufig vorkommt: den Serviceordnern (Kompatibilität, IT), die die Bearbeitung von Dokumenten innerhalb derselben Abteilung ermöglichen.
Bevor wir ins Spiel einsteigen, möchte ich Ihnen SMB vorstellen, das Freigabeprotokoll unter Windows.
Inhaltsverzeichnis
Einführung in das SMB-Protokoll
SMB steht für Server Message Block und ist das Windows-Protokoll, das die gemeinsame Nutzung von Ressourcen (Dateien und Drucker) unter Windows ermöglicht; es verwendet die Ports 445 (DNS) und 139 (NBT).
Historisch gesehen wurde es unter älteren Windows-Versionen CIFS (Common Internet File System) genannt.
Ein häufiger Fehler, der im Zusammenhang mit SMB gemacht wird, ist die Verwechslung mit SAMBA. SAMBA ist jedoch die Implementierung des SMB-Protokolls unter UNIX und Linux.
Zum Zeitpunkt der Erstellung dieses Tutorials befinden wir uns bei Version 3.1.1 des SMB-Protokolls, das in Windows 10 und Windows Server 2016 eingeführt wurde.
Das SMB-Protokoll war in den letzten Jahren Gegenstand zahlreicher Diskussionen, da es häufig in den verschiedenen Sicherheitslücken von Windows auftaucht, die entweder den Diebstahl von Anmeldeinformationen und/oder die Übernahme der Kontrolle über den Computer ermöglichen.
Das SMB-Protokoll verwendet eine Client/Server-Architektur, bei der der Client Anfragen sendet, um auf ein gemeinsam genutztes Element (Ordner, Drucker) zuzugreifen.
Das Format für Ressourcenfreigaben ist wie folgt: \\server\shared-resource\….
Wenn Sie mehr über das SMB-Protokoll erfahren möchten, empfehle ich Ihnen die Lektüre des entsprechenden Wikipedia-Artikels: https://fr.wikipedia.org/wiki/Server_Message_Block
Einen Ordner mit Windows Server 2025 freigeben
Es gibt mehrere Möglichkeiten, einen Ordner unter Windows freizugeben:
- Datei-Explorer*
- Servermanager
- PowerShell
* Dies lässt sich auch über den Datei-Explorer auf verschiedene Arten bewerkstelligen.
In diesem Tutorial werden wir zwei Wege kennenlernen, wie das geht. Zunächst habe ich auf meinem Windows-Server einen Ordner „Services“ erstellt, der die verschiedenen Dienstordner enthält, die wir gemeinsam nutzen werden.
Der in diesem Tutorial verwendete Server ist Mitglied einer Domäne Active Directory Dies ermöglicht die Anwendung von NTFS-Berechtigungen zur Verwaltung unterschiedlicher Zugriffsebenen mithilfe von Gruppen.
Einen Ordner aus dem Datei-Explorer freigeben
Diese Methode ist allen Betriebssystemen gemein und kann daher auch auf Windows 11 angewendet werden.
Als Erstes erstellen Sie den Ordner, der freigegeben werden soll; hier habe ich den Ordner „Buchhaltung“ erstellt.
Gleichzeitig habe ich die Gruppe GL_SHARE_COMPTA-RW erstellt, die die Anwendung der Berechtigungen ermöglicht.
Klicken Sie mit der rechten Maustaste auf den freizugebenden Ordner und klicken Sie dann auf Eigenschaften 1.
Gehen Sie als Nächstes auf die Registerkarte „Freigabe“ 1 und klicken Sie dann auf „Erweiterte Freigabe“ 2.
Im Fenster „Erweiterte Freigabe“ aktivieren Sie das Kontrollkästchen „Diesen Ordner freigeben“ 1 und klicken Sie anschließend auf die Schaltfläche „Autorisierung“ 2.
Standardmäßig sind Leserechte für die Freigabe für Jeder erlaubt, was nicht gewünscht ist. Wählen Sie Jeder 1 und klicken Sie dann auf Löschen 2.
Fürs Erste ist keine weitere Autorisierung erforderlich, klicken Sie auf die Schaltfläche „Hinzufügen 1“.
Wählen Sie die Gruppe 1 aus, die die Berechtigungen für die Freigabe haben soll, und klicken Sie dann auf die Schaltfläche OK 2.
Konfigurieren Sie die Berechtigungen 1 (hier trage ich die Änderungsrechte ein) für die Gruppe, klicken Sie dann auf Anwenden 2 und anschließend auf OK 3.
Die SMB-Konfiguration der Freigabe ist abgeschlossen. Klicken Sie auf Anwenden 1 und OK 2.
In den Eigenschaften können Sie sehen, dass der Ordner freigegeben ist und der UNC-Pfad angezeigt wird. Gehen Sie dann zur Registerkarte Sicherheit 1.
Auf der Registerkarte „Sicherheit“ sehen Sie, dass die lokale Benutzergruppe Lesezugriff auf diesen Ordner hat. Diese NTFS-Berechtigungen möchten wir vorerst nicht ändern. NTFS-Rechte sind nur relevant, wenn sich ein Benutzer lokal am Server anmeldet, was nicht möglich sein sollte. Wir müssen jedoch der Active Directory-Gruppe, die für Freigabeberechtigungen konfiguriert wurde, Änderungsberechtigungen erteilen. Klicken Sie auf die Schaltfläche „Ändern“ 1.
Ein neues Fenster öffnet sich; klicken Sie auf die Schaltfläche „Hinzufügen 1“.
Wie bei den Freigabeberechtigungen wählen Sie die Active Directory-Gruppe 1 aus und klicken dann auf OK 2.
Konfigurieren Sie die Berechtigungen 1 für die Gruppe und klicken Sie dann auf die Schaltflächen Anwenden 1 und OK 2.
Die NTS-Berechtigungen sind konfiguriert, klicken Sie auf Schließen 1.
Die Einrichtung der Datei-Explorer-Freigabe ist nun abgeschlossen.
Einen Ordner vom Server-Manager freigeben
Um diesen Teil des Tutorials zu veranschaulichen, werde ich den IT-Ordner teilen, der sich im Ordner „Services“ auf der gleichen Ebene wie der Ordner „Buchhaltung“ befindet.
Auch hier habe ich eine eigene Active Directory-Gruppe erstellt.
Klicken Sie im Server-Manager auf Datei- und Speicherdienste 1.
Als Nächstes gehen Sie zu Shares 1.
Über dieses Dashboard können wir die auf dem Server konfigurierten Freigaben verwalten; wir können die zuvor erstellte Accounting-Freigabe sehen.
Im Server-Manager verwenden wir einen Assistenten, der uns durch die Konfiguration der Freigabe führt. Klicken Sie auf AUFGABEN 1 und dann auf Neue Freigabe 2.
Verlassen Sie das SMB-Freigabeprofil – Schnell 1 und klicken Sie dann auf Weiter 2.
Um die erweiterte Freigabe zu konfigurieren, benötigen Sie die Rolle FSRM Nach der Installation werden wir dies in einem zukünftigen Tutorial genauer betrachten.
Hier müssen Sie den Speicherort für die Freigabe konfigurieren. Da im Server-Manager nur ein Server konfiguriert werden muss, klicken Sie auf die Schaltfläche „Durchsuchen 1“.
Wählen Sie den Ordner 1 zum Freigeben aus und klicken Sie auf die Schaltfläche Ordner auswählen 2.
Nachdem Sie den Ordner ausgewählt haben, klicken Sie auf Weiter 1.
Geben Sie den Namen der Aktie ein 1 und klicken Sie dann auf die Schaltfläche „Weiter“ 2.
Es gibt mehrere Optionen, die für die Freigabe konfiguriert werden können:
- Zugriffsbasierte Aufzählung: Ermöglicht die Anzeige nur der Ordner in einer Freigabe, für die der Benutzer die erforderlichen Berechtigungen besitzt. Wir werden diesen Punkt später genauer betrachten.
- Zwischenspeicherung: Ermöglicht es einem Benutzer, eine Offline-Kopie der Freigabe auf seinem Computer zu speichern; um Probleme zu vermeiden, deaktiviere ich diese Option.
- Datenzugriff verschlüsseln: Dadurch wird die Datenverschlüsselung zwischen Client und Server erzwungen. Dies erfordert die Verwendung von SMB 3. SMB 3 wurde mit Windows Server 2012 und Windows 8 eingeführt. Wenn Ihre Infrastruktur dies zulässt, d. h. Sie über aktuelle Betriebssysteme verfügen und andere Geräte wie Kopierer das SMB-3-Protokoll unterstützen, aktivieren Sie diese Option.
Klicken Sie anschließend auf Weiter 1.
Wir konfigurieren nun die SMB- und NTFS-Berechtigungen. Klicken Sie dazu auf die Schaltfläche „Berechtigungen anpassen“ 1.
Auf der Registerkarte „Autorisierung“ verwalten wir die NTFS-Rechte. Klicken Sie auf „Hinzufügen 1“.
Klicken Sie im neuen Fenster, das sich öffnet, zunächst auf „Haupt auswählen 1“.
Wählen Sie die Active Directory-Gruppe 1 aus und klicken Sie dann auf OK 2.
Die Gruppe ist ausgewählt, konfigurieren Sie die Berechtigungen 1 und klicken Sie dann auf OK 2.
Die NTFS-Berechtigungen wurden hinzugefügt, gehen Sie nun zur Registerkarte Freigabe 1.
Wie Sie sehen, ist die Freigabe standardmäßig für Jeder zugänglich, was wir nicht wollen. Wählen Sie daher Jeder 1 und klicken Sie auf Löschen 2.
Wir fügen nun die Berechtigungen für die Active Directory-Gruppe hinzu. Klicken Sie dazu auf Hinzufügen 1.
Klicken Sie wie bei NTFS-Berechtigungen auf „Prinzipal auswählen“ und wählen Sie dann die Active Directory-Gruppe aus.
Konfigurieren Sie die Freigabeberechtigungen 1 und klicken Sie dann auf die Schaltfläche OK 2.
Nachdem die NTFS- und SMB-Berechtigungen konfiguriert wurden, klicken Sie auf die Schaltflächen „Anwenden“ 1 und „OK“ 2.
Zurück im Assistenten „Neue Freigabe“, klicken Sie auf Weiter 1.
Es wird eine Zusammenfassung der Freigabekonfiguration angezeigt. Klicken Sie auf die Schaltfläche „Erstellen 1“.
Die Freigabe wurde erstellt. Klicken Sie auf Schließen 1, um den Assistenten zu beenden.
In der Liste der Freigaben im Server-Manager finden wir die IT-Freigabe, die wir gerade mit dem Assistenten erstellt haben.
Zugriffsfreigabe
Nun testen wir den Zugriff auf die soeben erstellte Freigabe. Dazu verwende ich einen Clientcomputer mit Windows 11 und den Benutzer Romain, der Mitglied der Gruppe GL_SHARE_INFORMATIQUE-W ist. Dies sollte mir den Zugriff auf den freigegebenen Ordner Informatique ermöglichen, nicht aber auf den Ordner Compta.
Wie Sie sehen können, bin ich ordnungsgemäß mit dem Benutzer Romain verbunden.
Im Windows-Datei-Explorer navigiere ich zu folgender Adresse \\lsrvgen1 Das ist der Name des Servers, wie Sie im Screenshot unten sehen können. Ich kann die beiden Freigaben deutlich erkennen.
Durch Anklicken von „Informatik“ kann ich darauf zugreifen und um die Berechtigungen zu testen, werde ich einen neuen Ordner erstellen.
Wenn ich auf der Stammebene des Servers versuche, auf den Ordner „Buchhaltung“ zuzugreifen, erhalte ich eine Fehlermeldung, die besagt, dass ich nicht über die erforderlichen Berechtigungen verfüge.
Sie wissen, wie man einen Ordner auf Windows Server 2025 freigibt.
Zugriffsbasierte Aufzählung aktivieren
Nun werden wir sehen, wie die zugriffsbasierte Aufzählung innerhalb eines freigegebenen Ordners funktioniert.
Im Ordner „IT“ erstellen wir einen Unterordner namens „Management“, auf den nur Benutzer zugreifen können, die Mitglied einer bestimmten Active Directory-Gruppe (GL_SHARE_INFORMATIQUE-DIRECTION-W) sind, zu der der Benutzer Romain nicht gehört.
Auf dem Server erstelle ich den Ordner „Direction“.
Damit die EBA korrekt funktioniert und der Zugriff ordnungsgemäß eingeschränkt wird, müssen die NTFS-Rechte für diesen Ordner konfiguriert werden. Klicken Sie dazu mit der rechten Maustaste auf den Ordner und anschließend auf Eigenschaften 1.
Gehen Sie zum Reiter Sicherheit 1 und klicken Sie dann auf Erweitert 2.
Wie Sie im Screenshot unten sehen, erbt der Ordner die Berechtigungen seines übergeordneten Ordners. Berechtigungen werden auch der lokalen Benutzergruppe, einschließlich der Domänenbenutzergruppe, erteilt. Daher haben alle Domänenbenutzer Lesezugriff, was nicht gewünscht ist. Klicken Sie auf „Vererbung deaktivieren 1“.
Klicken Sie auf „Geerbte Berechtigungen in explizite Berechtigungen für dieses Objekt umwandeln“ 1.
Nun können wir sehen, dass NTFS-Berechtigungen nicht mehr vererbt werden.
Nun werden wir alle Berechtigungen entfernen, die Benutzern Zugriff gewähren, die keinen Zugriff haben sollten. Daher werden wir die Benutzerberechtigungen und die Gruppe GL_SHARE_INFORMATIQUE-W entfernen.
Wählen Sie eine Berechtigung 1 aus und klicken Sie auf Löschen 2.
Wiederholen Sie den Vorgang, bis Sie über ähnliche Berechtigungen wie unten verfügen.
Nun fügen wir die Berechtigungen für die Gruppe GL_SHARE_INFORMATIQUE-DIRECTION-W hinzu. Klicken Sie dazu auf die Schaltfläche „Hinzufügen 1“.
Wählen Sie die Active Directory-Gruppe 1 aus, konfigurieren Sie die NTFS-Berechtigungen 2 und klicken Sie dann auf OK 3.
Die Gruppe wurde hinzugefügt, klicken Sie auf Anwenden 1 und OK 2.
Schließen Sie das Fenster „Ordnereigenschaften“ durch Klicken auf OK 1.
In diesem Stadium ist der Ordner für meinen Benutzer Romain im IT-Share sichtbar, aber ich kann nicht darauf zugreifen, da ich nicht Teil der Gruppe GL_SHARE_INFORMATIQUE-DIRECTION-W bin.
Nun aktivieren wir EBA (Access-Based Enumeration), wodurch wir den Ordner in der IT-Freigabe ausblenden können.
Klicken Sie im Server-Manager mit der rechten Maustaste auf die Freigabe und anschließend auf Eigenschaften.
Gehen Sie in den Freigabeeigenschaften zu Einstellungen 1, aktivieren Sie das Kontrollkästchen Zugriffsbasierte Aufzählung 2 und klicken Sie dann auf Anwenden 3 und OK 4.
EBA ist aktiviert, und nun sehe ich von meinem Client-Arbeitsplatz aus mit meinem Konto den Ordner „Management“ im Ordner „IT“ nicht mehr, da ich keine Zugriffsberechtigung habe.
Optimierung der gemeinsamen Nutzung von Serviceaufzeichnungen
Von Anfang an haben wir gesehen, wie man freigegebene Ordner für Unternehmensdienste erstellt; bei nur 2 Diensten können wir zwei Freigaben erstellen, aber in der Regel gibt es in einem Unternehmen mehr als zwei Dienste.
Um die Wartung zu vereinfachen und die Effizienz zu steigern, werden wir den Ordner „services“ freigeben, indem wir EBA aktivieren, sodass Benutzer nur den Ordner ihres jeweiligen Dienstes sehen und darauf zugreifen können.
Wir werden hier den Ordner „Services“ freigeben, der die Unterordner enthält.
Da alle technischen Details bereits behandelt wurden, werde ich Ihnen hier nur die Vorgehensweise erläutern.
In den Dienstordnern (Buchhaltung und IT) müssen Sie die Vererbung deaktivieren und die NTFS-Berechtigungen auf die gleiche Weise konfigurieren wie für den Verwaltungsordner im IT-Ordner, damit Benutzer mit EBA beim Zugriff auf den Dienstfreigabeordner nur ihren Dienstordner sehen.
Um den Ordner „Dienste“ aus dem Server-Manager freizugeben, klicken Sie auf AUFGABEN und dann auf Neue Freigabe.
Wählen Sie das Profil „SMB-Freigabe – Schnell“ aus.
Geben Sie den Speicherort des Serviceordners an.
Konfigurieren Sie den Freigabenamen.
Aktivieren Sie in den Freigabeeinstellungen die zugriffsbasierte Aufzählung.
Bezüglich der NTFS-Berechtigungen müssen Sie die Vererbung und alle Benutzerberechtigungen entfernen und eine Benutzerberechtigung hinzufügen, die nur das Auflisten von Ordnern im Verzeichnis „Dienste“ erlaubt.
Folgen Sie weiterhin den Anweisungen des Assistenten.
Bei dieser Konfiguration verfügen Sie über einen einzigen freigegebenen Ordner, und die Benutzer können nur die Ordner sehen und darauf zugreifen, für die sie explizite Berechtigungen besitzen.
Die Ordnerfreigabe sollte Ihnen auf Windows Server nun keine Geheimnisse mehr bereiten.
Aus Gründen der Sicherheit und Vertraulichkeit ist es wichtig, Ihre Anteile zu testen, bevor Sie sie bereitstellen und den Benutzern mitteilen.
