Samenvatting Netwerkbeheer met Windows Server 2019 DEEL 2
H5 t/m H10
5 – De beveiligde toegang tot netwerkobjecten
Autorisatie
In algemene termen is een bestand op een file server een netwerkobject, een ingelogde gebruiker is
een user account, een security principal. Zodra een account een netwerkobject benadert, treedt voor
de beveiliging het proces van autorisatie in werking. Via de autorisatie wordt bepaald wat een
account met een netwerkobject mag. Wil een account iets dat niet is toegestaan dan volgt er een
foutmelding.
Het autorisatieproces gebruikt daarbij de ACL (Access Control List) van het netwerkobject. Elk
netwerkobject is voorzien van een eigen ACL. De ACL is een tabel die, zoals elke tabel, bestaat uit
regels. Elke regel wordt een ACE (Access Control Entry) genoemd. Een ACE wordt ook wel een entry
of ingang genoemd. In een ACE is beschreven welk account wat met het netwerkobject mag. Voor
het account wordt in een ACE de SID gebruikt. Voor het beschrijven wat het account met het netwerk
object mag, worden permissies gebruikt. Permissies zijn dus gerelateerd aan het netwerkobject. Met
een shared folder zijn immers andere dingen mogelijk dan met een shared printer.
Permissies en rechten
In veel netwerkbesturingssystemen (Unix/Linux, NetWare) worden de hiervoor genoemde permissies
rechten genoemd. Onder Windows Server 2019 worden met rechten geheel andere
beveiligingsitems bedoeld, bijvoorbeeld het recht om op een DC in te mogen loggen. In het vorige
hoofdstuk heeft u enkele rechten en permissies gebruikt. Een permissie wordt ook wel een
machtiging genoemd.
Toegangsgroep
Een toegangsgroep maakt u aan voor de beveiliging. Een toegangsgroep is een domain local security
group waarin u nog geen leden opneemt – een voorlopig lege groep dus. U neemt de groep op in de
bij de afdeling passende OU. Om toegangsgroepen gemakkelijk te herkennen, begint u de naam
ervan met T_ en plaatst daarachter de naam van de folder.
Permissies
Voor volumes en folders bestaan twee soorten permissies:
• NTFS-permissions
Deze worden hier Folder permissions genoemd omdat u deze in deze wizard op mapniveau
toekent. Zijn toe te passen op NTFS-volumes.
• Share-permissions
,NTFS-permissies en elementaire machtigingen
De getoonde NTFS-permissies hieronder worden ook wel sjablonen genoemd:
Zij bestaan uit een vastomlijnd aantal elementaire machtigingen – precies zoals een straat bestaat
uit huizen of een molecuul bestaat uit atomen. Voor speciale gevallen kunt u ook alleen maar
elementaire machtigingen instellen en dus niet gebruikmaken van een van de NTFS-permissies
(sjablonen).
Share permissies
Daar waar NTFS-permissies uitsluitend toe te passen zijn op NTFS-volumes, zijn share-permissies
toepasbaar op NTFS- en FAT32-volumes. Anders dan NTFS-permissies behoren share-permissies tot
de invloedssfeer van een share. Share-permissies zijn uitsluitend in te stellen op een share zelf.
Share-permissies bepalen het toegangsniveau tot die share en daarmee tot alles waarop de share
van invloed is. Share-permissies zijn dus medebepalend voor de invloedssfeer van de share – ze
geven er vorm aan. De volgende share-permissies zijn beschikbaar:
• Read
Met de share-permissie Read kan een gebruiker de gehele hiërarchische mappenstructuur
waarop de share van invloed is bekijken.
• Change
Change houdt standaard Read in. Bovendien kunnen mappen en bestanden worden
verwijderd, gewijzigd en toegevoegd (inclusief kopiëren en verplaatsen).
• Full control
Full control houdt standaard Change in. Op FAT32-volumes houdt het daarbij op. Op NTFS-
volumes kan, als daar de NTFS-permissie Allow: Full control van toepassing is, bovendien het
eigenaarschap van mappen en bestanden worden overgenomen en toegekende NTFS-
permissies worden gewijzigd.
Regel: Als share-permissies en NTFS-permissies conflicteren, geldt de meest beperkende permissie.
Good practice
• Een goede beveiliging kenmerkt zich door zoveel mogelijk barrières. Via NTFS- en share-
permissies beschikt u over een dubbele beveiliging, de een uitgebreider dan de ander, maar
toch. Het is verstandig die dubbele beveiliging ook toe te passen.
• Het maken van domain local toegangsgroepen wordt vaak als omslachtig ervaren. Voor het
beheer levert het echter, naast overzichtelijkheid, enorme voordelen op. Komt er
bijvoorbeeld op een afdeling een nieuwe collega werken, dan maakt u daarvoor in de juiste
, OU een user account aan en plaatst u dat in de juiste afdelingsgroep. Daarmee is gelijk de
beveiligde toegang tot de afdelingsfolder geregeld. De beveiligingsstructuur is zo afhankelijk
gemaakt van de organisatiestructuur.
→ dit gehanteerde principe wordt vaak de AGDLP-strategie genoemd. AGDLP moet u in een netwerk
met één domain als volgt leven: Accounts plaatsen in een Global group, deze plaatsen in een Domain
Local group en daaraan Permissies toekennen op shared resources.
DFS Namespaces
Het gebruik van DFS is een manier om er voor te zorgen dat gebruikers vlot en eenvoudig op hun
werkstations hun werk kunnen doen. Ze kunnen bij hun afdelingsfolders komen met bestanden die
het meest bewerkt worden. Via File Explorer moeten de afdelingsfolders snel en eenvoudig
bereikbaar zijn.
DFS (Distributed File System) is een dienst die beschikbaar is in een Windows Server 2019-netwerk.
Die dienst bestaat uit twee onderdelen:
• Met DFS Replication kunt u mappen en bestanden repliceren. Daarmee kunt u een vorm van
fouttolerantie creëren.
• Met DFS Namespaces kunt u naamruimtes inrichten. Een naamruimte is in DFS een share van
shares. In een naamruimte kan DFS de shares die voor de gebruikers belangrijk zijn bij elkaar
brengen. Het resultaat voor gebruikers is buitengewoon doorzichtig. Dat komt omdat de
directory-structuur aan de gebruikers worden gepresenteerd. De shares die in de
naamruimte worden opgenomen, kunnen shares zijn op elke willekeurige computer uit het
netwerk. Voor de beveiliging wordt teruggevallen op de ingestelde share- en NTFS-
permissies.
Zoals vermeld is een naamruimte een share van share. De hoofdingang van een namespace op de
harde schijf wordt de DFS Root van die naamruimte genoemd.
Namespace Type
In het boek worden twee Namespace Types behandeld:
• Stand-alone namespace
Bij een stand-alone namespace maakt u gebruik van één server met daarop de DFS Root(s).
Met een standalone namespace kunt u dus geen fouttolerante naamruimte bereiken
behoudens via clustering. De server hoeft geen lid te zijn van een domain. Standalone
namespaces kunt u implementeren op een DC, op een member server en zelfs op een
standalone server in een peer-to-peer-netwerk.
• Domain-based namespace
Bij een domain-based namespace kunt u zonder clustering juist wel voor fouttolerantie
zorgen. Voor een domain-based namespace is uiteraard een domain nodig. De namespace
wordt in AD opgenomen. De fouttolerantie wordt bereikt door de naamruimte te installeren
op meer dan één server. Die servers moeten tenminste member servers zijn in het domain.
Omdat DFS in Windows Server 2008 sterk is gewijzigd, kunt u voor die versie kiezen of juist
niet.
H5 t/m H10
5 – De beveiligde toegang tot netwerkobjecten
Autorisatie
In algemene termen is een bestand op een file server een netwerkobject, een ingelogde gebruiker is
een user account, een security principal. Zodra een account een netwerkobject benadert, treedt voor
de beveiliging het proces van autorisatie in werking. Via de autorisatie wordt bepaald wat een
account met een netwerkobject mag. Wil een account iets dat niet is toegestaan dan volgt er een
foutmelding.
Het autorisatieproces gebruikt daarbij de ACL (Access Control List) van het netwerkobject. Elk
netwerkobject is voorzien van een eigen ACL. De ACL is een tabel die, zoals elke tabel, bestaat uit
regels. Elke regel wordt een ACE (Access Control Entry) genoemd. Een ACE wordt ook wel een entry
of ingang genoemd. In een ACE is beschreven welk account wat met het netwerkobject mag. Voor
het account wordt in een ACE de SID gebruikt. Voor het beschrijven wat het account met het netwerk
object mag, worden permissies gebruikt. Permissies zijn dus gerelateerd aan het netwerkobject. Met
een shared folder zijn immers andere dingen mogelijk dan met een shared printer.
Permissies en rechten
In veel netwerkbesturingssystemen (Unix/Linux, NetWare) worden de hiervoor genoemde permissies
rechten genoemd. Onder Windows Server 2019 worden met rechten geheel andere
beveiligingsitems bedoeld, bijvoorbeeld het recht om op een DC in te mogen loggen. In het vorige
hoofdstuk heeft u enkele rechten en permissies gebruikt. Een permissie wordt ook wel een
machtiging genoemd.
Toegangsgroep
Een toegangsgroep maakt u aan voor de beveiliging. Een toegangsgroep is een domain local security
group waarin u nog geen leden opneemt – een voorlopig lege groep dus. U neemt de groep op in de
bij de afdeling passende OU. Om toegangsgroepen gemakkelijk te herkennen, begint u de naam
ervan met T_ en plaatst daarachter de naam van de folder.
Permissies
Voor volumes en folders bestaan twee soorten permissies:
• NTFS-permissions
Deze worden hier Folder permissions genoemd omdat u deze in deze wizard op mapniveau
toekent. Zijn toe te passen op NTFS-volumes.
• Share-permissions
,NTFS-permissies en elementaire machtigingen
De getoonde NTFS-permissies hieronder worden ook wel sjablonen genoemd:
Zij bestaan uit een vastomlijnd aantal elementaire machtigingen – precies zoals een straat bestaat
uit huizen of een molecuul bestaat uit atomen. Voor speciale gevallen kunt u ook alleen maar
elementaire machtigingen instellen en dus niet gebruikmaken van een van de NTFS-permissies
(sjablonen).
Share permissies
Daar waar NTFS-permissies uitsluitend toe te passen zijn op NTFS-volumes, zijn share-permissies
toepasbaar op NTFS- en FAT32-volumes. Anders dan NTFS-permissies behoren share-permissies tot
de invloedssfeer van een share. Share-permissies zijn uitsluitend in te stellen op een share zelf.
Share-permissies bepalen het toegangsniveau tot die share en daarmee tot alles waarop de share
van invloed is. Share-permissies zijn dus medebepalend voor de invloedssfeer van de share – ze
geven er vorm aan. De volgende share-permissies zijn beschikbaar:
• Read
Met de share-permissie Read kan een gebruiker de gehele hiërarchische mappenstructuur
waarop de share van invloed is bekijken.
• Change
Change houdt standaard Read in. Bovendien kunnen mappen en bestanden worden
verwijderd, gewijzigd en toegevoegd (inclusief kopiëren en verplaatsen).
• Full control
Full control houdt standaard Change in. Op FAT32-volumes houdt het daarbij op. Op NTFS-
volumes kan, als daar de NTFS-permissie Allow: Full control van toepassing is, bovendien het
eigenaarschap van mappen en bestanden worden overgenomen en toegekende NTFS-
permissies worden gewijzigd.
Regel: Als share-permissies en NTFS-permissies conflicteren, geldt de meest beperkende permissie.
Good practice
• Een goede beveiliging kenmerkt zich door zoveel mogelijk barrières. Via NTFS- en share-
permissies beschikt u over een dubbele beveiliging, de een uitgebreider dan de ander, maar
toch. Het is verstandig die dubbele beveiliging ook toe te passen.
• Het maken van domain local toegangsgroepen wordt vaak als omslachtig ervaren. Voor het
beheer levert het echter, naast overzichtelijkheid, enorme voordelen op. Komt er
bijvoorbeeld op een afdeling een nieuwe collega werken, dan maakt u daarvoor in de juiste
, OU een user account aan en plaatst u dat in de juiste afdelingsgroep. Daarmee is gelijk de
beveiligde toegang tot de afdelingsfolder geregeld. De beveiligingsstructuur is zo afhankelijk
gemaakt van de organisatiestructuur.
→ dit gehanteerde principe wordt vaak de AGDLP-strategie genoemd. AGDLP moet u in een netwerk
met één domain als volgt leven: Accounts plaatsen in een Global group, deze plaatsen in een Domain
Local group en daaraan Permissies toekennen op shared resources.
DFS Namespaces
Het gebruik van DFS is een manier om er voor te zorgen dat gebruikers vlot en eenvoudig op hun
werkstations hun werk kunnen doen. Ze kunnen bij hun afdelingsfolders komen met bestanden die
het meest bewerkt worden. Via File Explorer moeten de afdelingsfolders snel en eenvoudig
bereikbaar zijn.
DFS (Distributed File System) is een dienst die beschikbaar is in een Windows Server 2019-netwerk.
Die dienst bestaat uit twee onderdelen:
• Met DFS Replication kunt u mappen en bestanden repliceren. Daarmee kunt u een vorm van
fouttolerantie creëren.
• Met DFS Namespaces kunt u naamruimtes inrichten. Een naamruimte is in DFS een share van
shares. In een naamruimte kan DFS de shares die voor de gebruikers belangrijk zijn bij elkaar
brengen. Het resultaat voor gebruikers is buitengewoon doorzichtig. Dat komt omdat de
directory-structuur aan de gebruikers worden gepresenteerd. De shares die in de
naamruimte worden opgenomen, kunnen shares zijn op elke willekeurige computer uit het
netwerk. Voor de beveiliging wordt teruggevallen op de ingestelde share- en NTFS-
permissies.
Zoals vermeld is een naamruimte een share van share. De hoofdingang van een namespace op de
harde schijf wordt de DFS Root van die naamruimte genoemd.
Namespace Type
In het boek worden twee Namespace Types behandeld:
• Stand-alone namespace
Bij een stand-alone namespace maakt u gebruik van één server met daarop de DFS Root(s).
Met een standalone namespace kunt u dus geen fouttolerante naamruimte bereiken
behoudens via clustering. De server hoeft geen lid te zijn van een domain. Standalone
namespaces kunt u implementeren op een DC, op een member server en zelfs op een
standalone server in een peer-to-peer-netwerk.
• Domain-based namespace
Bij een domain-based namespace kunt u zonder clustering juist wel voor fouttolerantie
zorgen. Voor een domain-based namespace is uiteraard een domain nodig. De namespace
wordt in AD opgenomen. De fouttolerantie wordt bereikt door de naamruimte te installeren
op meer dan één server. Die servers moeten tenminste member servers zijn in het domain.
Omdat DFS in Windows Server 2008 sterk is gewijzigd, kunt u voor die versie kiezen of juist
niet.
