Rechte, ACLs und Dateiattribute
Windows schützt Dateien und Ordner über das NTFS-Rechtesystem.
Jeder Benutzer und jede Gruppe hat bestimmte Zugriffsrechte (ACLs – Access Control Lists):
lesen, schreiben, ausführen, löschen usw.
In der CMD kannst du diese Rechte einsehen, ändern oder sogar den Besitz einer Datei übernehmen.
Das ist besonders relevant, wenn du in der Administration arbeitest oder Systemfehler behebst („Zugriff verweigert“).
Dateiattribute – die einfachste Ebene der Kontrolle
Bevor wir über Berechtigungen sprechen, gibt es eine grundlegendere Schicht: Dateiattribute.
Sie definieren einfache Eigenschaften einer Datei, z. B. ob sie schreibgeschützt oder versteckt ist.
Befehl:
attrib
Beispielausgabe:
A H C:\Users\Frederik\Desktop\notizen.txt
Bedeutung der Buchstaben:
| Attribut | Bedeutung |
|---|---|
| R | Read-only (schreibgeschützt) |
| H | Hidden (versteckt) |
| S | Systemdatei |
| A | Archive-Bit (markiert für Backup) |
| I | Nicht indexiert |
| O | Offline verfügbar |
Attribute setzen oder entfernen:
attrib +r +h geheim.txt
attrib -h geheim.txt
Erklärung:
Das Pluszeichen fügt Attribute hinzu, das Minus entfernt sie.
attrib +h +r geheim.txtmacht die Datei unsichtbar und schreibgeschützt.Um sie wieder sichtbar zu machen, entferne das
H-Attribut.
Das ist nützlich, um sensible Dateien vor versehentlicher Bearbeitung zu schützen – aber nicht als echte Sicherheitsmaßnahme.
icacls – Zugriffskontrolllisten (ACLs) anzeigen und bearbeiten
Der Befehl icacls ist das Standardwerkzeug, um NTFS-Berechtigungen zu prüfen und zu verändern.
Er zeigt, welche Benutzer welche Rechte an einer Datei oder einem Ordner haben.
icacls C:\Projekte
Beispielausgabe:
C:\Projekte NT-AUTORITÄT\SYSTEM:(F)
Frederik:(OI)(CI)(M)
Administratoren:(F)
Bedeutung:
(F)→ Full Control (Vollzugriff)(M)→ Modify (Ändern)(R)→ Read (Lesen)(RX)→ Read & Execute (Lesen und Ausführen)(W)→ Write (Schreiben)
Die Kürzel (OI) und (CI) stehen für:
OI (Object Inherit): Vererbung auf Dateien im Ordner
CI (Container Inherit): Vererbung auf Unterordner
So erkennst du, wer was darf – ein zentraler Teil jeder Sicherheitsprüfung.
Rechte ändern
Um einem Benutzer Rechte zu geben oder zu entziehen, nutzt du icacls mit /grant oder /remove.
Rechte gewähren:
icacls "C:\Projekte" /grant Benutzer:(R)
→ Der Benutzer darf lesen.
Mehrere Rechte:
icacls "C:\Projekte" /grant Benutzer:(M)
→ Der Benutzer darf lesen, schreiben, ändern.
Rechte entziehen:
icacls "C:\Projekte" /remove Benutzer
Rechte für alle Unterelemente übernehmen:
icacls "C:\Projekte" /grant Benutzer:(OI)(CI)(M)
Damit werden die Rechte vererbt – alle Unterordner und Dateien bekommen die gleiche Berechtigung.
Besitz übernehmen
Manchmal gehört eine Datei oder ein Ordner einem anderen Benutzer oder dem System.
Wenn du dann versuchst, sie zu löschen oder zu öffnen, bekommst du „Zugriff verweigert“.
In diesem Fall kannst du den Besitz übernehmen.
takeown /f "C:\Projekte\gesperrt"
Ergebnis:
ERFOLG: Der Besitz von "C:\Projekte\gesperrt" wurde dem Benutzer "FRECHERT\Frederik" übertragen.
Wenn du den Besitz rekursiv übernehmen willst (also inklusive Unterordnern und Dateien):
takeown /f "C:\Projekte\gesperrt" /r /d y
Danach kannst du mit icacls neue Rechte vergeben oder löschen.
Aktuellen Benutzer und Gruppen anzeigen
Um herauszufinden, unter welchem Konto du gerade arbeitest:
whoami
Ergebnis:
freichert-pc\frederik
Um zu sehen, in welchen Gruppen du Mitglied bist:
whoami /groups
Das ist besonders wichtig, weil Berechtigungen oft gruppenbasiert vergeben werden – z. B. „Administratoren“, „Benutzer“, „Sicherungs-Operatoren“.
Beispiel: Rechte prüfen und vergeben
Beispiel 1 – Rechte anzeigen
icacls "C:\Projekte"
→ Zeigt an, wer Zugriff hat.
Beispiel 2 – Benutzer Schreibrechte geben
icacls "C:\Projekte" /grant Benutzer:(M)
Beispiel 3 – Besitz übernehmen und Vollzugriff setzen
takeown /f "C:\Projekte\Archiv"
icacls "C:\Projekte\Archiv" /grant Frederik:(F)
Damit erhältst du wieder Zugriff, falls der Ordner vorher durch falsche Rechte blockiert war.
Unterschied zwischen Attributen und Berechtigungen
| Ebene | Werkzeug | Wirkung | Beispiel |
|---|---|---|---|
| Dateiattribute | attrib | einfache Eigenschaften wie „versteckt“, „schreibgeschützt“ | attrib +h +r datei.txt |
| NTFS-Rechte | icacls, takeown | kontrollieren, welche Benutzer zugreifen dürfen | icacls C:\Daten /grant Benutzer:(R) |
Attribute sind kosmetisch oder organisatorisch – NTFS-Rechte sind sicherheitsrelevant.
Häufige Fehlerquellen
| Problem | Ursache | Lösung |
|---|---|---|
| „Zugriff verweigert“ beim Löschen | du bist nicht Besitzer oder hast keine Rechte | takeown + icacls /grant |
| Änderungen werden nicht übernommen | Vererbung aktiv | erst /inheritance:r nutzen, dann Rechte setzen |
| falsche Pfadangaben mit Leerzeichen | fehlende Anführungszeichen | "C:\Programme\Meine Datei.txt" |
| Attribute entfernt, Datei trotzdem gesperrt | NTFS-Rechte blockieren | Rechte prüfen, nicht nur attrib |
| Administrator-Konto, aber Zugriff fehlt | Prozesse laufen als System | Besitz explizit übernehmen |