2.1. Configureer disk’s en volumes

Veel van de fundamentele opslagtechnologieën in Windows Server 2016 zijn ongewijzigd van de vorige versie. Het is echter nog steeds gebruikelijk voor certificeringexamens om de kennis van deze technologieën te testen omdat ze enkele van de meest voorkomende door serverbeheerders uitgevoerde taken omvatten.

2.1.1. Configureer sectorgroottes die geschikt zijn voor verschillende workloads

Bij correct gebruik is een schijfsector een onderverdeling van een track. Elke plaat van een harde schijf schijf is opgesplitst in cirkelvormige sporen en elk spoor is opgesplitst in sectoren.

Harde schijven maken traditioneel gebruik van sectoren van 512 bytes, hoewel nieuwe schijven het Advanced Format gebruiken met 4.096 bytes sectoren. De sectorgrootte wordt gecreëerd tijdens de fabricage van de drive en kan niet worden veranderd.

U kunt echter de grootte van de allocation unit van een schijfvolume wijzigen, wat vaak ten onrechte een sector genoemd. De allocation unit is de Windows-term, maar het is ook gebruikelijk een blok of een cluster genoemd. Een cluster is de kleinste hoeveelheid schijfruimte die de computer kan toewijzen bij het opslaan van een bestand. Bijvoorbeeld het opslaan van een bestand van 10 kilobyte op een schijf met een clustegrootte van 4 kilobytes vereist drie blokken, of 12 kilobytes. Clusters kunnen niet worden verdeeld over bestanden, dit betekent dus dat 2 kilobytes opslagruimte wordt verspild aan wat ‘slack space’ wordt genoemd. U selecteert de toewijzingseenheidgrootte van een volume wanneer u het formatteert.

Het selecteren van een toewijzingseenheidsgrootte voor een volume is een afweging tussen ‘verspilde’ ruimte en schijfefficiëntie. U selecteert meestal een clustergrootte op basis van de gemiddelde grootte van de bestanden die u op het volume wilt opslaan. Als u een grotere clustergrootte selecteert, en kleine bestanden op het volume opslaat, zal dit een grotere hoeveelheid ruimte verspillen.

Bijvoorbeeld het opslaan van het eerder genoemde 10 KB-bestand op een volume met 4 KB clustergrootte verspilt 2 KB. Als het volume een clustergrootte van 64 KB heeft, is slechts één toewijzingseenheid is, maar er zou 54 KB aan opslagruimte verloren gaan. Vermenigvuldig dat met duizenden bestanden en je verspilt een aanzienlijk deel van het volume.

Aan de andere kant, als u een bestand van 1 megabyte opslaat op een volume met een 4 KB clustergrootte zijn er 250 clusters vereist. Als het volume een clustergrootte 64 KB gebruikt, vereist het bestand slechts 16 clusters. Om toegang te krijgen tot het bestand, het station moet elke cluster afzonderlijk zoeken en lezen. Zoeken en lezen van 250 clusters is inherent minder efficiënt dan het zoeken en lezen van 16 clusters, dus de drive presteert beter.

Het probleem wordt ook bemoeilijkt door de mate van fragmentatie van het volume. Hoe meer een volume wordt geschreven en herschreven, hoe waarschijnlijker het is dat de toewijzingseenheden voor een bestand niet naast elkaar liggen, en de drive zijn koppen naar nieuwe plaatsen moet verplaatsen om de locatie van elke cluster te lezen.

Harde schijven zijn zo groot geworden dat het verschil tussen de grootte van de cluster niet meer zoveel uitmaakt. Voor een typisch volume is de gemiddelde hoeveelheid vrije ruimte per bestand de helft van de toewijzingseenheid. Op een volume met een clustergrootte van 4 KB, zal de vrije ruimte per bestand gemiddeld 2 KB bedrage. Op een volume met een clustergrootte van 64 KB, zal de vrije ruimte gemiddeld 32 KB per bestand bedragen. Als u 10.000 bestanden op elk volume opslaat, zal de verloren ruimte 20 MB op het volume met een clustersgrootte van 4 KB zijn en 312 MB op het volume met een clustergrootte van 64 KB. Op een schijf die 2 TB of groter is, is het verlies van 300 MB is niet zo erg, vooral als de schijf efficienter presteert.

Dit betekent echter niet dat door al uw schijven te formatteren om het maximum van 64 KB clustergroote te gebruiken, u een dramatische verbetering van de schijfprestaties realiseert. De standaard clustergrootte voor een NTFS-volume van minder dan 16 TB is 4.096 bytes of 4 KB, en is meestal geschikt voor een systeemstation. Als u echter volumes hebt waarop u meestal grote bestanden opslaan, zoals databases of video’s, kan het vergroten van de clustergrootte groter de prestaties verbeteren.

Groottes van Hyper-V-cluster-eenheden

In Hyper-V gebruiken VHD-bestanden 512 bytes interne schijfinvoer/-uitvoer (I/O) bewerkingen en VHDX-bestanden gebruiken 4.096 byte interne I/O-bewerkingen. Daarom de standaardgrootte van 4,096 NTFS-toewijzingseenheden komt goed overeen met de kenmerken van het virtuele VHDX-schijfbestand. Als u echter een 64 KB gebruikt clustergrootte op een VHDX, moet het systeem elke 64 KB-toewijzing lezen eenheid, het cachen, 4.096 bytes ervan wijzigen en het geheel terug naar het VHDX-bestand schrijven, wat de prestaties negatief beïnvloedt.

2.1.2. Configureer GUID partitietabel

Harde schijven hebben een partitietabel die het besturingssysteem voorziet van de locaties van de partities op de schijf. De originele MBR-partitie (master boot record) tabel werd geïntroduceerd in 1983. Het wordt nog steeds ondersteund door Windows en wordt nog steeds op veel gebruikt computers. De MBR-partitietabel heeft echter tekortkomingen, daarom is de GUID partitietabel (GPT) werd eind jaren negentig gemaakt.

Wanneer u een nieuwe harde schijf toevoegt aan een computer met Windows Server 2016, uw eerste stap na het installeren van de hardware is om de schijf te initialiseren. Wanneer u de schijf start Management-module, de tool detecteert de nieuwe schijf en presenteert het dialoogvenster schijfinitialisatie.

Dit dialoogvenster biedt de volgende opties:

  • Master Boot Record (MBR) – De MBR-partitiestijl bestaat al sinds de pc DOS 2.0, vóór Windows, en biedt de meeste compatibiliteit. Het komt nog steeds veel voor partitiestijl voor x86- en x64-computers.
  • GUID-partitietabel (GPT) – GPT bestaat al sinds het einde van de jaren negentig, maar geen x86 versies van Windows voorafgaand aan Windows Server 2008 en Windows Vista ondersteunen het. Tegenwoordig ondersteunen de meeste besturingssystemen GPT, inclusief Windows Server 2016.

2.1.2.1. MBR tekortkomingen

Als u de MBR-optie selecteert, wordt een opstartsector aan het begin van de schijf gemaakt wat wijst naar de locaties van de partities en zorgt voor een bootloader voor het besturingssysteem. Omdat deze essentiële informatie slechts één plaats op de schijf is opgeslagen, betekent dat als de opstartsector is beschadigd of overschreven wordt, de schijf niet meer herkend wordt door het besturingssysteem. Deze partitiestijl was de industriestandaard voor vele jaren en wordt nog steeds ondersteund door bijna alle besturingssystemen.

De MBR-schijfpartitioneringsstijl ondersteunt volumes tot 2 TB groot en maximaal vier primaire partities. De maximale grootte is te wijten aan de maximale 32-bits grootte van de partitie vermeldingen in de MBR-opstartsector. Destijds werd de MBR-stijl ontworpen, het idee van een 2 TB harde schijf was pure fantasie, maar vandaag zijn ze gemeengoed, waardoor deze beperking een grote tekortkoming is.

De vier-partitie limiet is voor sommigen ook een nadeel. Beginnend met PC DOS 3.3 in 1987, als u meer dan vier partities op een MBR-schijf wilde, moest u er drie primaire partities maken en van de vierde een uitgebreide partitie maken. Je zou dan meerdere logische schijfeenheden op de uitgebreide partitie kunnen maken. Dit is een oplossing die tot op de dag van vandaag bestaat in de MBR-partitiestijl.

2.1.2.2. GPT voordelen

De GUID-partitietabel is zo genoemd omdat elk van de partities op de schijf een globally unique identifier (GUID) heeft. GPT is onderdeel van de Unified Extensible Firmware Interface (UEFI) door Intel in de late jaren 1990 is ontwikkeld ter vervanging van de Basic Input/Output System (BIOS) firmwarestandaard.

GPT verschilt van MBR doordat de partitie-informatie op meerdere plaatsen is opgeslagen, verspreid over de schijf, samen met informatie over cyclische redundantiecontrole (CRC) dat het mogelijk maakt om corruptie in de partitietabel te detecteren en de gegevens te uit een andere locatie te herstellen. Dit maakt de GPT-partitioneringsstijl robuuster dan MBR.

Het belangrijkste is dat GPT-schijven niet beperkt zijn tot 2 TB zoals MBR-schijven. De GPT-schijf partitioneringsstijl ondersteunt volumes tot 18 exabytes (1 exabyte = 1 miljard gigabytes, of 260 bytes).
GPT is ook niet onderworpen aan de vier-partitie limiet zoals die bij MBR. De GPT-specificatie staat een onbeperkt aantal partities toe, maar de Windows GPT-implementatie beperkt het aantal partities tot 128 per schijf. Daarom is het mogelijk om een GPT-schijf met zes partities te maken.

2.1.2.3. Partitiestijl selecteren

Tenzij de architectuur van de computer ondersteuning biedt voor een uitbreidbare firmware-interface (EFI)-gebaseerde opstartpartitie, is het niet mogelijk om op te starten vanaf een GPT-schijf. Als dit het geval is, zal de systeemstation een MBR-schijf moeten zijn en u kunt GPT alleen gebruiken op afzonderlijke niet-opstartbare schijven schijven gebruikt voor gegevensopslag.

Vóór Windows Server 2008 en Windows Vista, konden alle x86-gebaseerde Windows-computers alleen de MBR-partitiestijl gebruiken. Computers op basis van het x64-platform kunnen hetzij de MBR- of GPT-partitiestijl gebruiken, zolang de GPT-schijf niet de opstartschijf was.

Nu harde schijven groter dan 2 TB breed beschikbaar zijn, is de selectie van een partitiestijl is belangrijker dan ooit. Wanneer u een fysieke schijf initialiseert met de traditionele schijfbeheer-module, is MBR de standaardpartitiestijl, zoals altijd is geweest. U kunt de module ook gebruiken om een schijf te converteren tussen MBR- en GPT-partitie stijlen, hoewel u dit alleen kunt doen op schijven waarop geen partities of volumes zijn gemaakt.

Wanneer u Serverbeheer gebruikt om een schijf in Windows Server 2016 te initialiseren, gebruikt deze de GPT-partitiestijl, ongeacht of de schijf fysiek of virtueel is. Serverbeheer heeft geen besturingselementen die MBR ondersteunen, hoewel het de partitiestijl weergeeft in de schijf-tegels.

Master Boot Record (MBR)GUID partition tabel (CPT)
Ondersteunt maximaal vier primaire partities of drie primaire partities en één uitgebreide partitie, met onbeperkte logische schijven op de uitgebreide partitieOndersteunt maximaal 128 primaire partities
Ondersteunt volumes tot 2 terabytesOndersteunt volumes tot 18 exabytes
Verborgen (niet-gepartitioneerde) sectoren slaan gegevens op die cruciaal zijn voor de werking van het platformPartities slaan gegevens op die cruciaal zijn voor de werking van het platform
Replicatie en cyclische redundantiecontroles (CRC’s) zijn geen kenmerken van de MBR-partitietabelReplicatie en CRC-bescherming van de partitietabel zorgen voor verhoogde betrouwbaarheid

2.1.2.4. Opstarten vanaf GPT schijven

Het belangrijkste compatibiliteitsprobleem met partitiestijlen is de mogelijkheid om op te starten vanaf een GPT schijf. Windows kan alleen opstarten vanaf een GPT-schijf als de computer UEFI-firmware heeft en als deze een 64-bit versie van Windows gebruikt. Servers moeten minimaal Windows Server 2008 draaien en werkstations moeten minimaal Windows Vista draaien.

Bijna alle servers die momenteel op de markt zijn, hebben UEFI-firmware en Windows Server 2016 is alleen beschikbaar in een 64-bits versie. Als u oudere hardware gebruikt, moet u bevestigen dat de computer UEFI-compatibel is voordat u kunt opstarten vanaf een GPT-schijf.

Als u niet kunt opstarten vanaf een GPT-schijf, kunt u nog steeds MBR gebruiken voor uw partitiestijl op de opstartschijf en GPT voor de andere harde schijven in de computer. GPT is essentieel als je andere schijven zijn groter dan 2 TB.

In Windows Server 2016 Hyper-V emuleren generatie 1 virtuele machines de BIOS-opstart firmware en moet u opstarten vanaf een virtuele MBR-schijf. U kunt extra virtuele GPT schijven maken, net als op een fysieke computer. Wanneer u een Generation 2 VM maakt, wordt de firmware UEFI en de gebruikt de opstartschijf de GPT-partitiestijl. U kunt extra virtuele schijven maken met behulp van de GPT- of MBR-partitiestijl, hoewel er geen dwingende is reden om MBR te gebruiken.

2.1.3. VHD en VHDX bestanden maken met de Server Manager of Windows PowerShell

Hyper-V steunt op de Virtual Hard Disk (VHD) indeling om virtuele schijfgegevens in bestanden op te slaan die gemakkelijk van de ene computer naar de andere kan worden overgedragen. U kunt nieuwe VHD-bestanden maken op een computer met Hyper-V met behulp van de wizard Nieuwe virtuele harde schijf, maar het is ook mogelijk om VHD’s te maken en te gebruiken op computers waarop de Hyper-V-rol niet wordt uitgevoerd.
Windows Server 2016 ondersteunt twee soorten virtuele harde schijf-images, onderscheiden door hun bestandsnaamextensies, als volgt:

  • VHD – VHD-afbeeldingen zijn beperkt tot een maximale grootte van 2 TB en zijn compatibel met servers met Windows Server 2008 of hoger, of werkstations met Windows 7 of later.
  • VHDX – VHDX-afbeeldingsbestanden kunnen tot 64 TB groot zijn en ondersteunen ook 4 KB logische sectorgroottes, om compatibiliteit te bieden met nieuwe 4 KB native drives. VHDX bestanden zijn niet achterwaarts compatibel en kunnen alleen worden gelezen door servers met Windows Server 2012 of hoger of werkstations met Windows 8 of hoger.

2.1.3.1. VHD of VHDX bestanden aanmaken met schijfbeheer

Met de module Schijfbeheer in Windows Server 2016 kunt u VHD en VHDX-bestanden maken en deze koppelen op de computer. Zodra een VHD- of VHDX-bestand is aangekoppeld, kunt u het net als een fysieke schijf behandelen en gebruiken om gegevens op te slaan. Het ontkoppelen van een VHD of VHDX verpakt de opgeslagen gegevens in het bestand, zodat u deze naar behoefte kunt kopiëren of verplaatsen.

Gebruik de volgende procedure om een VHD in Schijfbeheer te maken.

  1. Meld u aan bij Windows Server 2016 met een account met beheerdersrechten. Het Serverbeheer venster verschijnt.
  2. Klik op Extra en Computerbeheer.
  3. Klik in de console Computerbeheer op Schijfbeheer. De schijf Snap-in voor beheer verschijnt

Starten van schijfbeheer

U kunt de module Schijfbeheer ook starten door met de rechtermuisknop op Start te klikken en schijfbeheer selecteren in het contextmenu dat verschijnt, of door het bestand Diskmgmt.msc uit te voeren.

  1. Selecteer Create VHD in het menu Action. De Create And Attach Virtual Hard Disk Dialoogvenster verschijnt.


     
  2. Geef in het tekstvak Locatie het pad en de naam op voor het bestand dat u wilt maken.
  3. Geef in het tekstvak Virtuele harde schijf de maximale grootte van de gewenste schijf op.
  4. Selecteer in het vak Virtuele vaste schijf de optie VHD of VHDX.
  5. Selecteer een van de volgende opties voor het type virtuele harde schijf:Vaste grootte – Wijst alle schijfruimte voor de volledige grootte van het VHD- of VHDX-bestand in een keer toe.Dynamisch uitbreiden – Wijst schijfruimte aan het VHD- of VHDX-bestand toe naargelang u gegevens toevoegt aan de virtuele harde schijf.
  6. Klik op OK. Het systeem maakt het VHD- of VHDX-bestand aan en voegt dit toe, zodat het verschijnt als een nieuwe schijf in de module.

Nadat u de VHD of VHDX hebt gemaakt en aangesloten, verschijnt deze als een niet-geïnitialiseerde schijf in de Schijfbeheer module en in Serverbeheer. Met beide hulpprogramma’s kunt u de schijf initialiseren en er volumes op maken, net zoals u een fysieke schijf zou doen. Na het opslaan van gegevens op de volumes, kunt u de VHD of VHDX loskoppelen en naar een andere locatie verplaatsen of koppelen aan een virtuele Hyper-V-machine.

2.1.3.2. VHD of VHDX bestanden aanmaken met Windows PowerShell

Om een VHD of VHDX in Windows PowerShell te maken, gebruikt u de cmdlet New-VHD, die is opgenomen in de Hyper-V-module. Deze module is geïnstalleerd als onderdeel van de Hyper-V Functie Management Tools. Als Hyper-V niet op uw systeem is geïnstalleerd, kunt u de PowerShell-tools toevoegen met volgens commando:

Install-Windowsfeature -Name Hyper-V-PowerShell

Deze module bevat cmdlets waarmee u een lijst kunt maken, maken, koppelen, samenvoegen en het formaat van een VHD kan wijzigen. Om een nieuwe VHD te maken, kunt u de cmdlet New-VHD gebruiken:

New-VHD -Path C:\data\disk1.vhdx -SizeBytes 10gb

Deze eenvoudige opdracht maakt een VHDX-schijf van 10 gigabyte met de naam Disk1 in de map C:\data. Om andere VHD-functies te configureren, kunt u een van de volgende parameters gebruiken:

  • Path – Geeft de locatie aan waar de VHD en bestandsnaam moet worden gemaakt. De bestandsnaamextensie die u gebruikt, geeft aan of een VHD- of een VHDX-bestand moet worden gemaakt.
  • SizeBytes – Geeft de grootte aan van de VHD die gemaakt moet worden of in het geval van een dynamiche schijf, de maximale grootte. U kunt de grootte opgeven met de volgende afkortingen: MB, GB, TB.
  • Fixed – Wijst onmiddellijk alle opslagruimte toe die is opgegeven in de parameter SizeBytes bij het maken van de VHD.
  • Dynamic – Creëert een kleine VHD en stelt deze in staat om naar behoefte uit te breiden tot de maximale opgegeven grootte in de parameter SizeBytes.
  • Differencing – Maakt een differentiërende schijf voor het bovenliggende item dat is opgegeven in het ParentPath parameter.
  • ParentPath – Geeft de locatie en bestandsnaam van de bovenliggende schijf waarvoor een differentiërende schijf moet worden gemaakt.
  • SourceDisk – Geeft de locatie en bestandsnaam van een fysieke schijf waarnaar de nieuwe VHD bij creatie moet worden gekopieerd.

Om een VHD te maken en voor te bereiden voor gebruik met één opdracht, kunt u New-VHD combineren met andere cmdlets door het pijpteken te gebruiken:

New-VHD -path c:\data\disk1.vhdx -sizebytes 256gb -dynamic | Mount-VHD -passthru | Initialize-Disk -passthru | New-Partition -driveletter x -usemaximumsize | Format-Volume -filesystem ntfs -filesystemlabel data1 -confirm:$false -force

Met deze opdracht maakt u een nieuw dynamisch VHDX-bestand van 256 gigabyte in de map C:\data, koppelt de schijf, initialiseert de schijf, maakt een partitie met stationsletter X en ten slotte wordt de partitie geformatteert met het NTFS-bestandssysteem. Na voltooiing van dit commando is de nieuwe VHD klaar om gegevens te ontvangen.

2.1.4. Virtual Hard Disks (VHDs) koppelen

Een van de voordelen van VHD- en VHDX-bestanden is dat u ze eenvoudig naar elke gewenste locatie kunt verplaatsen systeem. Bovendien kunt u een VHD- of VHDX-bestand op een fysieke of virtuele machine koppelen en openen via het bestandssysteem met behulp van een standaard stationsletter. Een image-bestand koppelen biedt u volledige lees- en schrijfmogelijkheden, zodat u toegang hebt tot afzonderlijke bestanden of hele bestanden en mappen indien nodig.

Als u een VHD- of VHDX-bestand wilt koppelen, kunt u de module Schijfbeheer of Windows PowerShell-cmdlets gebruiken.

2.1.4.1. VHD of VHDX bestanden koppelen met Disk Management

U kunt een bestaand VHD- of VHDX-bestand koppelen of ontkoppelen met behulp van Schijfbeheer module, die in plaats daarvan de termen Attach en Detach gebruikt. Gebruik de volgende procedure om een bestand te mounten:

  1. Meld u aan bij Windows Server 2016 met een account met beheerdersrechten. Het venster Serverbeheer verschijnt.
  2. Klik op Extra en Computerbeheer.
  3. Klik in de console Computerbeheer op Schijfbeheer. De schijf-beheer snap-in verschijnt.
  4. Klik in het menu Actie op VHD koppelen. Het dialoogvenster Virtuele harde schijf koppelen komt naar voren


     
  5. Typ of blader in het tekstvak Locatie naar de locatie en bestandsnaam van de VHD of Te koppelen VHDX-bestand en klik op OK. De gekoppelde schijf verschijnt op de schijf Management console.

Als de virtuele schijf al geïnitialiseerd, gepartitioneerd en geformatteerd is, verschijnen de volumes met de toegewezen stationsletters en zijn ze klaar voor gebruik. Als de schijf nog steeds in onbewerkte staat, moet u het initialiseren, een volume maken en het formatteren met behulp van het bestandssysteem van uw keuze voordat u het kunt gebruiken om gegevens op te slaan.

Wanneer u klaar bent met het gebruik van de schijf, kunt u deze selecteren en VHD loskoppelen kiezen uit het Actiemenu. Alle wijzigingen die u op de schijf of de inhoud ervan hebt aangebracht, worden opgeslagen in de origine VHD- of VHDX-bestand.

2.1.4.2. VHD of VHDX bestanden koppelen met PowerShell

Er zijn twee PowerShell-cmdlets die u kunt gebruiken om een bestaand VHD- of VHDX-bestand te mounten. Hun syntaxis zijn vergelijkbaar, maar niet identiek. De cmdlet Mount-DiskImage maakt deel uit van de Opslagmodule, en is te vinden op alle computers met Windows Server 2016. De Mount-VHD-cmdlet maakt deel uit van de Hyper-V-module en is alleen beschikbaar op systemen waarop de Hyper-V management tools geïnstalleerd zijn. Gebruik het volgende om een VHD- of VHDX-bestand te koppelen met de Mount-DiskImage-cmdlet. Om een gekoppelde image te ontkoppelen kan u de Diskmount-DiskImage cmdlet gebruiken met hetzelfde imagepath parameter.

Mount-DiskImage -imagepath filename

Om een VHD of VHDX bestand te koppelen met de Mount-VHD cmdlet kunt u de volgende syntax gebruiken. Om een gekoppelde image te ontkoppelen kan u de Dismount-VHD cmdlet gebruiken met hetzelfde path parameter.

Mount-VHD -path -filename

2.1.5. Bepaal wanneer een NTFS en ReFS bestandssysteem te gebruiken

Om gegevens of programma’s op een harde schijf te organiseren en op te slaan, moet u een bestandssysteem installeren, de onderliggende schijfstructuur waarmee u informatie op uw computer kunt opslaan. U
installeer bestandssystemen door een volume op de harde schijf te formatteren. In Windows Server 2016, vijf bestandssysteemopties zijn beschikbaar, maar alleen NTFS en ReFS zijn dat geschikt voor gebruik op een moderne server.

NTFS is het standaardbestandssysteem voor de Windows Server-besturingssystemen sinds de release van Windows NT 3.1 in 1993. Het belangrijkste voordeel van NTFS ten opzichte van FAT-bestandsystemen, is de mogelijkheid om gebruikerstoegang tot bestanden en mappen te autoriseren waarbij de machtigingen in discretionaire toegangscontrolelijsten (DACL’s) zijn opgeslagen.

NTFS ondersteunt ook lange bestandsnamen en grotere bestanden en volumes dan FAT. De de maximale grootte voor een NTFS-volume met de standaard 4KB-cluster is 16 TB; met de maximale clustergrootte van 64 KB is de maximale volumegrootte 256 TB.

FAT-bestandssystemen

Omdat de FAT (File Allocation Table) bestandssystemen de beveiliging mist die NTFS biedt, kan elke gebruiker die toegang krijgt tot uw computer elk bestand zonder beperking lezen. FAT-bestandssystemen hebben ook schijfgroottebeperkingen. FAT32 kan niet overweg met een partitie groter dan 32 GB of een bestand groter dan 4 GB. FAT kan geen harde schijf groter dan 4 GB aan, of een bestand groter dan 2 GB. Vanwege deze beperkingen is de enige reden om nog FAT16 of FAT32 te gebruiken, de noodzaak om de computer op te starten met een niet-Windows besturingssysteem of een eerdere versie van Windows die geen NTFS ondersteunt, wat geen waarschijnlijke configuratie voor een server.

Naast deze mogelijkheden bevat NTFS ook de volgende extra functies:

  • Bestandscompressie – NTFS ondersteunt transparante, on-the-fly compressie, maar alleen voor volumes met de toewijzingseenheidgrootte van 4 KB. De compressiesnelheid is gebaseerd op de type bestand, met bestanden met repetitieve bitpatronen die meer comprimeren dan die dat niet. Volumegrootte, aantal bestanden en schrijffrequentie kunnen allemaal invloed hebben op de efficiëntie van het compressiesysteem, dat aanzienlijk processorintensief kan zijn.
  • Encrypting File System (EFS) – NTFS kan on-the-fly codering van geselecteerde bieden bestanden en mappen met behulp van de openbare sleutel van een specifieke gebruiker. Het bestandssysteem decodeert vervolgens de bestanden op aanvraag met de openbare sleutel van de gebruiker. EFS en NTFS compressie sluit elkaar uit; bestanden kunnen worden gecomprimeerd of gecodeerd, maar niet beide.
  • Quota’s – Beheerders kunnen een quotum opleggen voor de hoeveelheid opslagruimte toegestaan voor een specifieke gebruiker en specificeer de drempels waarop de gebruiker moet ontvangen een waarschuwing en toegang geweigerd.
  • Volume Shadow Copy – NTFS kan een geschiedenis van bestandsversies bijhouden door ze te kopiëren naar een alternatieve locatie terwijl ze naar de schijf worden geschreven. Gebruikers hebben dan toegang tot vorige versies indien nodig, en back-uptoepassingen kunnen ze gebruiken om bestanden te beschermen momenteel in gebruik.
  • Resizing – Gebruikers kunnen NTFS-volumes (andere dan systeemvolumes) verkleinen of uitbreiden, indien er is voldoende vrije ruimte in het volume of niet-toegewezen ruimte op de schijf is.

ReFS (Resilient File System) is een nieuw bestandssysteem geïntroduceerd in Windows Server 2012 R2 dat vrijwel onbeperkte bestands- en volumegroottes biedt en een verhoogde veerkracht dat de noodzaak voor hulpmiddelen voor foutcontrole, zoals Chkdsk.exe elimineert. De maximale ReFS volumegrootte is 280 bytes of 1 yobibyte. De maximale bestandsgrootte is 16 exabytes (of één miljoen terabytes), wat veel groter is dan alle opslagtechnologie die tegenwoordig beschikbaar is voorzien. Maar nogmaals, wie verwachtte een paar jaar geleden over terabyte-drives te praten?

ReFS gebruikt controlegetallen om de metagegevens op een volume en, optioneel, de gegevens zelf te beschermen. Periodieke controles vinden op de achtergrond plaats terwijl het volume in gebruik is. Wanneer corruptie is gedetecteerd, repareert het systeem deze onmiddellijk, zonder de schijf offline te hoeven halen.

De foutdetectie en reparatiemogelijkheden van ReFS maken het bijzonder nuttig in Storage Pools. In een opslagpool dat een mirror of pariteitsruimte gebruikt, zal een beschadigd bestand op een ReFS-volume automatisch gedetecteerd worden automatisch worden hersteld met behulp van de dubbele spiegel of basis van de pariteitsgegevens. Op virtuele Hyper-V-schijven implementeert ReFS checkpointing en back-ups als bestandsysteem metadata bewerkingen, welke hun snelheid en efficiëntie verhogen.

ReFS gebruikt hetzelfde machtigingssysteem als NTFS en is volledig compatibel met bestaande ACL’s. ReFS biedt echter geen ondersteuning voor NTFS-functies zoals bestandscompressie, Encrypted File System (EFS) en schijfquota. ReFS-schijven kunnen dat ook niet gelezen worden door besturingssystemen ouder dan Windows Server 2012 R2 en Windows 8.

Verbeteringen in ReFS in Windows Server 2016, en met name de verbeteringen in Hyper-V gebruik, heeft Microsoft ertoe gebracht te verklaren dat dit nu het voorkeursdatavolume voor het besturingssysteem is. Systeemstations en volumes die compressie, codering en andere vereisen die alleen NTFS-functies gebruiken moeten dat bestandssysteem blijven gebruiken, maar voor overige kan de veerkracht die ReFS biedt voordeel bieden.

2.1.6. Configureer NFS en SMB shares met behulp van Server Manager

Door servermappen te delen, kunnen netwerkgebruikers deze openen. Nadat u uw schijven op de bestandserver geïnitialiseert, gepartitioneert, en gefomatterd hebt, moet u gedeelde mappen maken zodat gebruikers toegang kunnen krijgen tot die schijven via het netwerk.

Voordat u begint met het maken van shares, moet u een strategie voor het delen van bestanden ontwikkelen die bestaat uit antwoorden op vragen als de volgende:Welke schijfmappen deelt u?Welke namen kent u toe aan de aandelen?Welke deelrechten verleent u aan uw gebruikers?Welke offline bestanden-instellingen gebruikt u voor de shares?

Als u de aangewezen maker van een map bent, kunt u deze in Windows Server 2016 delen door met de rechtermuisknop op de map in een willekeurig venster van de verkenner te klikken en delen met te selecteren, en vervolgens specifieke personen in het contextmenu te selecteren en vervolgens de instructies in het dialoogvenster bestandsdeling op te volgen.

Deze methode voor het maken van shares biedt een vereenvoudigde interface die slechts beperkte controle over elementen zoals deelrechten bevat. U kunt alleen opgeven dat de gebruikers lees of lees/schrijf machtigingen voor de share ontvangen.

Als u niet de maker van de map bent, hebt u toegang tot het tabblad delen van de map met eigenschappen in plaats daarvan. Als u op de knop delen op dit tabblad klikt, wordt hetzelfde dialoogvenster bestanden delen gestart, maar op de knop geavanceerd delen klikken en delen te selecteren geeft het dialoogvenster weer dat wordt hieronder wordt weergegeven. De optie machtigingen in het dialoogvenster geavanceerd delen biedt u meer controle over de machtigingen van het delen via de standaard Windows-beveiligingsinterface.

Om echter de controle van de shares op al uw schijven en al uw servers over te nemen, zodat u volledige controle over hun eigenschappen kunt uitoefenen, gebruikt u de pagina bestands- en opslagservices in Serverbeheer.

Windows Server 2016 ondersteunt twee soorten mapshares:

  • Server Message Blocks (SMB) – Een applicatielaagprotocol dat al lang de standaard voor het delen van bestanden en printers op Windows-netwerken.
  • Network File System (NFS) – Een gestandaardiseerd bestandssysteemprotocol dat doorgaans wordt gebruikt door UNIX- en Linux-distributies.

Wanneer u Windows Server 2016 installeert, installeert het installatieprogramma de opslag rol standaard in de bestands- en opslagservices rol. Om SMB gedeelde mappen te maken in Serverbeheer moet u echter eerst de functieservice Bestandsserver installeren. Wanneer u uw eerste mapshare maakt met behulp van verkenner, installeert het systeem automatisch het bestandsserverrolservice.

Als u NFS-shares wilt maken, moet u de NFS-rolservice installeren. Om een van deze functieservices te installeren kunt u de wizard rollen en functies toevoegen in serverbeheer gebruiken, of de Install-WindowsFeature-cmdlet in Windows PowerShell commando’s:

Install-WindowsFeature -Name FS-FileServer 
Install-WindowsFeature -Name FS-NFS-Service

2.1.6.1. Een SMB share maken

Gebruik de volgende procedure om een SMB-share te maken met behulp van Serverbeheer.

  1. Meld u aan bij Windows Server 2016 met een account met beheerdersrechten. Het venster Serverbeheer verschijnt.
  2. Klik op het pictogram Bestands- en opslagservices en klik in het submenu dat verschijnt. Klik op shares. De pagina Shares verschijnt.


     
  3. Selecteer nieuwe share in het menu Taken op de tegel Shares. De nieuwe Share-wizard verschijnt met de pagina selecteer het profiel voor deze share.


     
  4. Selecteer een van de volgende opties in de lijst Bestand delen profiel.
    • SMB Share – Quick – Biedt eenvoudige SMB-sharing met volledige share en NTFS toestemmingen.
    • SMB Share – Advanced – Biedt SMB-sharing met volledige share en NTFS machtigingen, plus toegang tot aanvullende services, zoals toegang geweigerd, mapclassificatie en quota. Om deze optie te selecteren, moet de computer de File Server Resource Manager-functieservice geïnstalleerd hebben.
    • SMB Share – Applications – Biedt SMB-sharing met instellingen die geschikt zijn voor Hyper-V, databases en andere toepassingen.
  5. Klik op Volgende. De pagina Selecteer de server en het pad voor deze share wordt weergegeven.


     
  6. Selecteer de server waarop u de share wilt maken en selecteer vervolgens een volume op de server of geef een pad op naar de map die u wilt delen. Dan klik volgende. De pagina Configureer share naam wordt weergegeven.
  7. Geef in het tekstvak Naam de naam op die u aan de share wilt toewijzen en Klik volgende. De pagina Configureer share instellingen verschijnt.
  8. Selecteer een of alle van de volgende opties:
    • Op toegang gebaseerde opsomming inschakelen – Past filters toe op gedeelde mappen op basis van de machtigingen van individuele gebruikers voor de bestanden en submappen in de share. Gebruikers die geen toegang heeft tot een gedeelde bron kan die bron niet zien op het netwerk. Dit voorkomt dat gebruikers bestanden en mappen doorzoeken waartoe ze geen toegang hebben.
    • Caching van delen toestaan – Hiermee kunnen clientsystemen lokale kopieën van bestanden bijhouden waartoe ze hebben toegang via server-shares. Wanneer een client de altijd beschikbare offline optie voor een servergebaseerd bestand, map of share selecteert, kopieert het clientsysteem de geselecteerde gegevens naar de lokale schijf en werkt deze regelmatig bij, zodat de clientgebruiker altijd toegang heeft, zelfs als de server offline is.
    • BranchCache inschakelen op bestandsdeling – Laat clientcomputers in locaties op afstand waarop BranchCache wordt uitgevoerd toe om bestanden te cachen die vanuit deze share worden geopend, zodat dat andere computers op de externe locatie hier toegang toe hebben.
    • Gegevenstoegang coderen – Zorgt ervoor dat de server de bestanden in de share codeert voor ze te verzenden naar de externe client.
  9. Klik op Volgende. De pagina Geef machtigingen op om toegang te beheren verschijnt.


     
  10. Wijzig de standaard share- en NTFS-machtigingen zoals nodig en klik op Volgende. De selectiepagina bevestigen verschijnt.
  11. Klik op Maken. De resultatenpagina wordt weergeven weergegeven terwijl de wizard de share maakt.
  12. Klik op Sluiten. De nieuwe share verschijnt op de tegel Shares van de Shares-pagina in Server Manager.

U kunt de tegel gebruiken om een share te beheren door er met de rechtermuisknop op te klikken en de eigenschappen ervan te openen of door op Delen stoppen te klikken. Het eigenschappenvenster voor een share in Serverbeheer biedt toegang tot dezelfde besturingselementen die u vindt in de machtigingen opgeven voor beheer de toegang en configureer pagina’s voor Share-instellingen in de wizard nieuw delen.

2.1.6.2. Een NFS share maken

Gebruik de volgende procedure om een NFS-share te maken met behulp van Serverbeheer.

  1. Meld u aan bij Windows Server 2016 met een account met beheerdersrechten. Het venster Serverbeheer verschijnt.
  2. Klik op het pictogram Bestands- en opslagservices en klik in het submenu dat verschijnt. Klik Shares. De pagina Shares verschijnt.
  3. Selecteer Nieuw delen in het menu taken op de tegel Shares. De nieuwe share-wizard verschijnt met de pagina Selecteer het profiel voor deze Share.
  4. Selecteer een van de volgende opties in de lijst bestandsdelen profiel.
    • NFS Share – Quick – Biedt basis NFS-sharing met authenticatie en toestemmingen.
    • NFS Share – Advanced – Biedt NFS-sharing met volledige share en NTFS machtigingen, plus toegang tot aanvullende services, zoals toegang geweigerd, mapclassificatie en quota. Om deze optie te selecteren, moet de computer de File Server Resource Manager-functieservice geïnstalleerd hebben.
  5. Klik op Volgende. De pagina selecteer de server en het pad voor deze share wordt weergegeven.
  6. Selecteer de server waarop u de share wilt maken en selecteer vervolgens een volume op de server of geef een pad op naar de map die u wilt delen. Dan klik Volgende. De pagina Share-naam opgeven wordt weergegeven.
  7. Geef in het tekstvak Naam de naam op die u aan de share wilt toewijzen en klik Volgende. De pagina Verificatiemethoden opgeven wordt weergegeven.


     
  8. Schakel de selectievakjes in voor de verificatiemethoden die u voor delen toegang wilt gebruiken, indien aanwezig.
  9. Klik op volgende. De pagina De machtigingen voor delen opgeven wordt weergegeven.
  10. Klik op Toevoegen. Het dialoogvenster machtigingen toevoegen verschijnt.


     
  11. Geef de naam op van een host die toestemming voor de share moet krijgen of selecteer alle machines optie. Geef in de vervolgkeuzelijst share-machtigingen op of de geselecteerde host(s) lezen/schrijven, geen toegang of alleen lezen toegang moeten krijgen.
  12. Klik op Toevoegen. De host wordt toegevoegd aan de wizardpagina. Herhaal stappen 10 tot 12 om meer hosts toe te voegen, indien nodig.
  13. Klik op Volgende. De pagina Geef machtigingen op om toegang te beheren verschijnt.
  14. Wijzig de standaard NTFS-machtigingen zoals nodig en klik op volgende. De bevestiging selectiepagina verschijnt.
  15. Klik op Maken. De pagina Resultaten weergeven wordt weergegeven terwijl de wizard de share maakt.
  16. Klik op Sluiten. De Nieuwe share verschijnt op de tegel Shares van de Shares-pagina in Server Manager.

2.1.6.3. Geavanceerde shares aanmaken

Wanneer u het profiel SMB Share-Advanced of NFS Share-Advanced selecteert, verschijnen twee extra pagina’s in de New Share Wizard. De eerste is een pagina Specify Folder Pagina Beheereigenschappen, waarop u de folder gebruikseigenschappen voor deze share kunt selecteren. Deze waarden geven het type gegevens weer dat is opgeslagen in de gedeelde map. U kunt ze gebruiken om classificatieregels in de File Server Resource Manager (FSRM) te configureren die acties op bestanden uitvoert op basis van hun classificatieeigenschappen. U kunt ook de e-mailadressen van de eigenaar of beheerder van de map opgeven, die een melding ontvangt wanneer een gebruiker de toegang tot de share wordt geweigerd.

De tweede toegevoegde pagina is de pagina Een quotum toepassen op een map of volume, waarop u kunt een quotum selecteren dat op de share moet worden toegepast uit de lijst met vooraf gedefinieerde quota sjablonen. Voor een meer gedetailleerde controle van quota moet u FSRM gebruiken.

2.1.6.4. Share permissies configureren

Op Windows-systemen hebben gedeelde mappen hun eigen machtigingssysteem volledig onafhankelijk van de NTFS en andere machtigingen. Voor netwerkgebruikers toegang tot een share op een bestandsserver krijgen, moet een beheerder ze de juiste share toestemmingen toekennen. Standaard krijgen nieuwe shares die u met de bestandsverkenner maakt de speciale identiteit Iedereen toestemming de share Lezen toestaan. In shares die u maakt met Serverbeheer, krijgt de share de speciale identiteit Iedereen toestemming Volledig beheer toestaan.

Het is belangrijk om te begrijpen dat netwerkgebruikers de machtigingen voor delen vereist om toegang te krijgen tot een map kunnen hebben, maar de toegang tot deze map wordt nog steeds geweigerd omdat ze niet over de benodigde NTFS-machtigingen beschikken. Het tegenovergestelde is ook waar; gebruikers met de juiste NTFS-machtigingen hebben geen toegang tot een share via het netwerk als ze niet over de vereiste sharemachtigingen beschikken. U moet ook begrijpen dat rechten voor delen alleen de toegang tot een share via de netwerk beheert, terwijl NTFS-machtigingen de toegang zowel via het netwerk als op het lokale machine beheert.

Wanneer u een SMB-share maakt met Serverbeheer, kunt u Specify Permissions To Control Access Page gebruiken om zowel NTFS te configureren als machtigingen voor delen voor de gedeelde map. Als u op Aanpassen machtigingen klikt, worden het dialoogvenster geavanceerde beveiligingsinstellingen geopend voor de gedeelde map. Het tabblad Machtigingen dat standaard is geselecteerd, geeft de NTFS-machtigingen weer. Selecteer Share om de sharemachtigingen voor de map te configureren tab.

Als u op de knop Toevoegen klikt, wordt een dialoogvenster Toegangsrechten openen voor de map geopend waar u een principal (een gebruiker of groep om de machtigingen te ontvangen) selecteert en de machtigingen die u wilt dat de opdrachtgever krijgt. Het Windows-machtigingssysteem is relatief eenvoudig en heeft er slechts drie toestemmingen.

Share permissieStaat toe of weigert een security principals de mogelijkheid tot:
Full ControlWijzig bestandsrechten
Eigenaar worden van bestanden
Voer alle taken uit die zijn toegestaan met de machtiging Wijzigen
ChangeMaak mappen
Bestanden toevoegen aan mappen
Wijzig gegevens in bestanden
Gegevens toevoegen aan bestanden
Wijzig bestandskenmerken
Verwijder mappen en bestanden
Voer alle acties uit die zijn toegestaan door de machtiging Lezen
ReadGeef mapnamen, bestandsnamen, bestandsgegevens en attributen weer
Voer programmabestanden uit
Toegang tot andere mappen in de gedeelde map

Bij het toewijzen van gedeelde machtigingen, moet u er ook rekening mee houden dat ze niet combineren zoals NTFS-machtigingen. Als u een gebruiker met de naam Alice toestemming voor Lezen en Wijzigen toestaan machtigingen geeft voor de gedeelde map C:\Documents\Alice en haar later alle drie machtigingen voor de gedeelde map C:\Documents weigert, zullen de machtigingen Weigeren verhinderen dat ze toegang heeft tot bestanden via de C:\Documents-share, inclusief die in de C:\Documents\Alice map. Ze heeft echter nog steeds toegang tot haar bestanden via de gedeelde map C:\Documents\Alice vanwege de machtigingen toestaan. Met andere woorden, de C:\Documents\Alice share neemt de weigerrechten niet over van de gedeelde mapC:\Documents.
Wanneer u een NFS-share maakt met behulp van de wizard Nieuw delen in Serverbeheer, worden de Geef de machtigingen op om de toegangspagina te beheren alleen toegang tot de NTFS toestemmingen. Dit komt omdat u de sharemachtigingen voor de NFS-share al hebt geconfigureerd op de pagina De machtigingen voor delen opgeven in de wizard.

2.1.7. Configureer SMB shares en sessie instellingen met behulp van PowerShell

Voor degenen die liever vanaf de opdrachtregel werken, bevat Windows Server 2016 een Windows PowerShell-module genaamd SmbShare, die u kunt gebruiken om een gedeelde map te maken en te beheren. Om een nieuwe gedeelde map te maken, gebruikt u de New-SmbShare-cmdlet.

New-SmbShare -Name sharename -Path pathname [-fullaccess groupname] [-readaccess groupname] [-changeaccess groupname] [-noaccess groupname]

Als u bijvoorbeeld een nieuwe share wilt maken met de naam Data uit de map C:\Docs met de toestemming Toestaan Volledige controle verleend aan de speciale identiteit Iedereen, gebruik het volgende commando:

New-SmbShare -Name Data -Path C:\Docs -FullAccess Everyone

Naast de hier vermelde toegangsparameters zijn er nog andere parameters die u kunt gebruiken opnemen op de opdrachtregel om functies te implementeren die beschikbaar zijn in de wizard Nieuw delen,
inclusief het volgende:

  • ConcurrentUserLimit # – Geeft het maximale aantal gebruikers aan waarmee verbinding kan worden gemaakt het aandeel tegelijkertijd. Een waarde van 0 staat onbeperkte gebruikers toe.
  • CachingMode waarde – Geeft het type offline bestandscaching aan dat mag worden gedeeld clients, met de volgende waarden:
    • None – Schakelt offline caching van bestanden op de client uit
    • Manual – Hiermee kunnen gebruikers bestanden selecteren voor offline caching
    • Programs – Cachet programma’s en documenten automatisch offline
    • Documents – Slaat documenten automatisch in de cache op
    • BranchCache – Schakelt BranchCache-cache in op de externe client
    • EncryptData True | False – Zorgt ervoor dat de server de bestanden in de share codeert voordat ze worden verzenden naar de externe client
    • FolderEnumerationMode AccessBased | Unlimited – Implementeert of schakelt de toegangs-gebaseerde opsomming uit. De standaardinstelling is Unrestricted.
    • Temporary – Zorgt ervoor dat de share alleen blijft bestaan totdat de computer opnieuw wordt opgestart.

2.1.7.1. Beheren van sessies

Als u eenmaal een share hebt gemaakt, kunt u het gebruik ervan volgen en beheren door middel van PowerShell-cmdlets. Als u bijvoorbeeld de cmdlet Get-SmbSession uitvoert, worden alle huidige clientsessies getoons die zijn verbonden met de shares van de server.

Met de informatie in deze lijst kunt u een specifieke sessie beëindigen met behulp van de Close-SmbSession-cmdlet, die de sessie-ID gebruikt om de sessie te sluiten.

Close-SmbSession -SessionId 154618822713

Standaard geeft de cmdlet een waarschuwing weer waarin u wordt gevraagd te bevestigen dat u dat de sessie wilt beëindigen. Het toevoegen van de parameter -Force toevoegen aan de opdrachtregel elimineert de prompt. Er wordt geen waarschuwing op de clientcomputer weergegeven en het beëindigen van de sessie kan ertoe leiden dat alle lopende werkzaamheden door de client verloren gaan.

U kunt ook sessies sluiten op basis van de andere informatie in de Get-SmbSession uitvoer.

Close-SmbSession -ClientComputerName 10.0.0.11Close-Smbsession -ClientUserName adatum\Administrator

Naast het weergeven van sessies kunt u ook de Get-SmbOpenFile-cmdlet gebruiken om de bestanden waartoe clients momenteel toegang hebben weer te geven.

Om een open bestand geforceerd te sluiten, kunt u de cmdlet Close-SmbOpenFile gebruiken

Close-SmbOpenfile -FileId 154618822961

2.1.7.2. Een gedeelde map verwijderen

Als u een share samen met alle sessies volledig wilt beëindigen, kunt u de Remove-SmbShare-cmdlet gebruiken, samen met naam van de gedeelde map.

Remove-SmbShare -Name Data

2.1.8. SMB server en SMB cliënt instellingen configureren met PowerShell

U kunt de kenmerken van een share configureren terwijl u deze maakt, ongeacht of u Server gebruikt Manager of PowerShell om dit te doen, maar u kunt ook de configuratie-instellingen van een share op elk moment wijzigen nadat het is gemaakt met andere cmdlets in de SmbShare PowerShell-module.

2.1.8.1. Instellen van share permissies

U kunt de sharemachtigingen voor een specifieke share wijzigen met behulp van de volgende cmdlets:Get-SmbShareAccess – Toont de toegangscontrolelijst voor een benoemde share.

  • Get-SmbShareAccess – Toont de toegangscontrolelijst voor een benoemde share.
  • Grant-SmbShareAccess – Voegt een toegangscontrole-item toe aan de ACL voor een benoemde share.
    Grant-SmbShareAccess -Name Data -Accountname adatum\administrator -Accessright full
  • Revoke-SmbShareAccess – Hiermee worden alle machtigingen voor een opgegeven machtiging verwijderd beveiligings-principal van een benoemde share.
    Revoke-SmbShareAccess -Name Data -accountname adatum\administrator
  • Block-SmbShareAccess – Voegt een Deny toegangscontrole-item toe aan de ACL voor een benoemde share.
    Block-SmbShareAccess -Name Data -Accountname adatum\administrator -Accessright full
  • Unblock-SmbShareAccess – Hiermee verwijdert u alle Deny permissies voor een opgegeven beveiligings-principal van een benoemde share.
    Unblock-SmbShareAccess -Name Data -Accountname adatum\administrator

2.1.8.2. Instellen van SMB server configuratie instellingen

De SmbShare PowerShell-module in Windows Server 2012 introduceerde de Set-SmbServerConfiguration cmdlet, waarmee beheerders veel onderliggende instellingen voor de SMB-serverimplementatie kunnen configureren. Om alle huidige server configuratie-instellingen weer te geven, voer de cmdlet Get-SmbServerConfiguration uit.

U kunt bijvoorbeeld opgeven welke versies van het SMB-protocol de server moet gebruiken door de volgende opdrachten uit te voeren:

Set-SmbServerConfiguration -EnableSmb1protocol $falseSet-SmbServerConfiguration -EnableSmb2protocol $false

Windows Server 2016 gebruikt SMB-versie 3, maar eerdere versies zijn beschikbaar voor ondersteuning down-level klanten. Merk op dat er geen aparte parameter is om SMB versie 3 zelf in te schakelen, omdat versie 3 niet zonder versie 2 kan worden uitgevoerd.

SMB-versies 2 en 3 bieden veel functies die de prestaties van het protocol kunnen verbeteren, inclusief gegevensversleuteling en meerkanaals linkaggregatie. SMB versie 1 uitschakelen zorgt ervoor dat uw klanten de nieuwste SMB gebruiken versies en profiteren van de nieuwe functies. SMB-versie 1 is alleen nodig als u hebt clients met Windows XP of eerder.
In het laatste voorbeeld worden SMB-versies 2 en 3 uitgeschakeld, waardoor de server alleen de originele SMB-versie 1 gebruikt. Dit schakelt een aantal geavanceerde SMB-functies uit, wat tijdelijk nuttig kan zijn voor probleemoplossing.

Wanneer op uw server SMB-versie 3 wordt uitgevoerd, kunt u codering van SMB-sessies inschakelen voor de gehele server of voor een specifieke share op de server, met behulp van de volgende opdrachten:

Set-SmbServerConfiguration -Encryptdata $trueSet-SmbServerConfiguration -Name Data -EncryptData $true

Wanneer codering is ingeschakeld, is het standaardgedrag van de server het weigeren van een verbinding vanaf elke client die SMB versie 3-codering niet ondersteunt. U kunt dit overschrijven gedrag met behulp van de volgende opdracht:

Set-SmbServerConfiguration -RejectUnencryptedAccess $false

Er zijn tientallen andere parameters die u kunt gebruiken met de Set-SmbServerConfiguration cmdlet. Voer de volgende opdracht uit om ze en hun functies weer te geven:

Get-Help Set-SmbServerConfiguration -detailed

2.1.8.3. Instellen van SMB cliënt configuratie instellingen

Net zoals u SMB-serverconfiguratie-instellingen kunt configureren met Windows PowerShell, kunt u hiermee ook de SMB-clientconfiguratie-instellingen configureren. De Get-SmbClientConfiguration cmdlet geeft een lijst met de beschikbare instellingen weer.

De nieuwe meerkanaalsfunctie in SMB kan bijvoorbeeld uw computers inschakelen om een grotere communicatiedoorvoer en fouttolerantie realiseren, maar de functie heeft hardware vereisten voor zowel de client- als de servercomputer, zoals meerdere netwerkadapters of adapters geconfigureerd om NIC Teaming te gebruiken.

SMB meerkanaals is standaard ingeschakeld; als uw computers uitgerust zijn om het te gebruiken. Als u echter niet zeker weet of de functie op uw systemen werkt, kunt u dat testen door multichannel uit te schakelen met de volgende opdracht:

Set-SmbClientConfiguration -EnableMultichannel $false

Als uw SMB-verbindingen vertragen vanwege deze opdracht, betekent dit dat meerkanaals werkte; en kun je het weer inschakelen door $false in $true te veranderen. Als er is geen verandering in SMB-prestaties met meerkanaals uitgeschakeld, is er elders een probleem dat u moet oplossen.

2.1.9. Bestands- en folderpermissies configureren

Windows Server 2016 gebruikt machtigingen om de toegang tot alle NTFS-bestanden en mappen, shares, registersleutels en AD Ds-objecten te beheren. Elk van deze toestemmingssystemen is volledig onafhankelijk van de anderen, maar de interfaces die u gebruikt om ze te beheren zijn vergelijkbaar.

Om de machtigingen op te slaan, heeft elk element een toegangslijst (ACL). Een ACL is een verzameling van individuele machtigingstoewijzingen genaamd toegangscontrolevermeldingen (ACE’s). Elke ACE bestaat uit een beveiligings-principal (naam van de gebruiker, groep of computer die de machtigingen heeft toegestaan) en de specifieke machtigingen toegewezen aan die beveiligings-principal. Wanneer u machtigingen beheert in een van de Windows Server 2016-machtigingssystemen behert, maakt en wijzigt u de ACE’s in een ACL.

Het is van cruciaal belang om te begrijpen dat alle Windows-besturingssystemen machtigingen worden opgeslagen als onderdeel van het beveiligde element, niet de beveiligings-principal waarvoor toegang is verleent. Wanneer u bijvoorbeeld een gebruiker de benodigde NTFS-machtigingen toegang tot een bestand verleent, wordt de ACE die u maakt opgeslagen in de ACL van het bestand; het maakt geen deel uit van het gebruikers account. U kunt het bestand naar een andere NTFS-schijf verplaatsen en de bijbehorende machtigingen zullen mee verplaatst worden.

Om machtigingen in Windows Server 2016 te beheren, gebruikt u een tabblad in het beveiligde gedeelte het eigenschappenvenster van het element, met de beveiligings-principals bovenaan en de bijbehorende rechten onderaan. Gedeelde mapmachtigingen zijn meestal te vinden op het tabblad Share-machtigingen en NTFS-machtigingen bevinden zich op het Tabblad Beveiliging. Alle Windows-machtigingssystemen gebruiken dezelfde basisinterface, hoewel de machtigingen zelf variëren. Serverbeheer biedt met een iets andere interface ook toegang tot NTFS- en Share permissies.

NTFS en Share-machtigingen combineren

Share-machtigingen bieden beperkte bescherming, maar dit kan voldoende zijn voor kleine netwerken. Share permissies zijn mogelijk ook het enige alternatief op een computer met FAT32-schijven, omdat het FAT-bestandssysteem geen eigen rechten heeft. Op netwerken die echter al over een goed gepland systeem van NTFS-machtigingen beschikt, zijn gedeelde machtigingen niet nodig. In dit geval kun je iedereen de volledige controle geven, en sta de NTFS-machtigingen toe om beveiliging te bieden. Het toevoegen van gedeelde mapmachtigingen aan het geheel zou het administratieproces alleen maar ingewikkelder maken, zonder extra bescherming te bieden.

In het NTFS-machtigingssysteem, dat ReFS ook ondersteunt, gaan de beveiligings-principals om gebruikers en groepen, waarnaar Windows verwijst met behulp van beveiligings-ID’s (SID’s). Wanneer een gebruiker toegang probeert te krijgen tot een NTFS-bestand of map, leest het systeem de beveiliging van de gebruikerstoegangstoken, dat de SID’s voor het account van de gebruiker en alle groepen bevat waartoe de gebruiker hoort. Het systeem vergelijkt deze SID’s vervolgens met die in het bestand of de map ACE’s om te bepalen welke toegang de gebruiker moet hebben. Dit proces wordt autorisatie genoemd.

Toewijzen van permissies

Terwijl de beveiligings-principals waaraan u een NTFS-bestand en -mapmachtigingen kunt toewijzen kunnen gebruikers of groepen zijn, raadt Microsoft als best practice aan dat u geen machtigingen toewijst aan individuele gebruikers, maar in plaats daarvan aan groepen. Deze kunt u uw machtigingsstrategie handhaven door eenvoudig gebruikers uit aan groepen toe te voegen aan of ze te verwijderen.

2.1.9.1. Basis en geavanceerde permissies

De machtigingssystemen in Windows Server 2016 zijn niet zoals de sleutels van een slot, die volledige toegang of helemaal geen toegang bieden. Windows-machtigingen zijn ontworpen om granulair te zijn, zodat u specifieke toegangsniveaus kunt verlenen aan beveiligings-principals. U kunt bijvoorbeeld NTFS-machtigingen gebruiken om niet alleen te bepalen wie toegang heeft tot een spreadsheet, maar ook de mate van toegang. U kunt Ralph toestemming geven om te lezen en de spreadsheet aanpassen, maar Alice kan het alleen lezen en Ed kan het helemaal niet zien.

Om deze granulariteit te bieden, heeft elk Windows-machtigingssysteem een diversiteit van machtigingen die u in elke combinatie kunt toewijzen aan een beveiligings-principal. Afhankelijk van het machtigingssysteem, zijn er mogelijk tientallen verschillende machtigingen beschikbaar voor een enkel systeemelement.

Om het systeem beter beheersbaar te maken, biedt Windows vooraf geconfigureerde toestemming combinaties die geschikt zijn voor de meest voorkomende toegangscontrolescenario’s. Wanneer je het eigenschappenvenster voor een systeemelement opent en op het tabblad Beveiliging kijkt, worden de NTFS de machtigingen die u ziet basisrechten genoemd. Basisrechten zijn combinaties van geavanceerde machtigingen, die de meest gedetailleerde controle over het element bieden.

Examen Tip

Voorafgaand aan Windows Server 2012 stonden basis machtigingen bekend als standaard machtigingen en stonden geavanceerde machtigingen bekend als speciale machtigingen. Kandidaten voor certificeringsexamens moeten op de hoogte zijn van deze alternatieve termen.

Het NTFS-machtigingssysteem heeft 14 geavanceerde machtigingen die u kunt toewijzen aan een map of bestand. Het heeft echter ook zes basisrechten die verschillende combinaties zijn van de 14 geavanceerde machtigingen. U kunt ervoor kiezen om met de basis of geavanceerde machtigingen te werken en zelfs beide machtigingstypes toewijzen in een enkele ACE om een aangepaste combinatie te maken. De meeste gebruikers werken echter alleen met basisrechten. Veel beheerders werken zelden of nooit rechtstreeks met geavanceerde machtigingen.

Als u het nodig vindt om direct met geavanceerde machtigingen te werken, maakt Windows dit mogelijk, wanneer u op de knop Geavanceerd Eigenschappenblad op het tabblad Beveiliging van een bestand of map klikt, u hebt rechtstreeks toegang tot de ACE’s voor het geselecteerde systeemelement door het dialoogvenster Geavanceerde beveiligingsinstellingen. Serverbeheer biedt toegang tot hetzelfde dialoogvenster via het eigenschappenvenster van een share.

2.1.9.2. Toestaan en Weigeren van permissies

Wanneer u machtigingen aan een systeemelement toewijst, maakt u in feite een nieuwe ACE in de ACL van het element. Er zijn twee soorten ACE: Toestaan en Weigeren. Dit maakt het mogelijk om rechtenbeheertaken vanuit twee richtingen te benaderen:

  • Additief – Begin zonder rechten en verleen vervolgens Toestaan machtigingen aan individuele beveiligings-principals om hen de toegang te geven die ze nodig hebben.
  • Subtractief – Begin met het verlenen van alle mogelijke machtigingen voor individuele beveiliging opdrachtgevers, waardoor ze volledige controle hebben over het systeemelement en ken vervolgens hen Weigeren machtigingen toe voor de toegang die u niet wilt hebben.

De meeste beheerders geven de voorkeur aan de additieve benadering omdat Windows standaard probeert om toegang tot belangrijke systeemelementen te beperken door machtigingen te weigeren. In een behoorlijk ontworpen machtigingshiërarchie, is het gebruik van machtigingen weigeren vaak helemaal niet nodig. Veel beheerders fronsen hun gebruik, omdat het combineren van toestemmingen en weigerrechten in dezelfde hiërarchie vaak het bepalen van de effectieve machtigingen voor een specifieke systeemelement moeilijk kan maken.

2.1.9.2.1. Permissies overerven

Het belangrijkste principe bij machtigingsbeheer is dat machtigingen meestal door een hiërarchie naar beneden worden uitgevoerd . Dit wordt machtigingsovername genoemd. Toestemming overerving betekent dat bovenliggende elementen hun machtigingen doorgeven aan hun ondergeschikte elementen. Als u bijvoorbeeld Alice Toestemmingen verleent aan de root van de D-schijf, nemen alle mappen en submappen op de D-schijf die machtigingen over, en Alice heeft dan toegang tot hen.

Het principe van overerving vereenvoudigt het toewijzingsproces van rechten enorm. Zonder dit zou u voor elk bestand, elke map, elke share, elk object en elke sleutel individuele beveiligings-principals machtigingen moeten verlenen die ze nodig hebben om toegang te krijgen. Met overerving kunt u toegang verlenen tot een volledig bestandssysteem door één set machtigingen Toestaan te maken.

In de meeste gevallen houden systeembeheerders, bewust of niet rekening met overerving bij het ontwerpen van hun bestandssystemen. De locatie van een systeemelement in een hiërarchie is vaak gebaseerd op hoe de beheerders machtigingen willen toewijzen.

In sommige situaties wilt u misschien voorkomen dat ondergeschikte elementen erven machtigingen van hun ouders. U kunt dit op twee manieren doen:

  • Overname uitschakelen – Wanneer u geavanceerde machtigingen toewijst, kunt u een ACE configureren dat het geen machtigingen mag doorgeven aan zijn ondergeschikte elementen. Hoewel niet aanbevolen door Microsoft best practices, blokkeert dit effectief het proces van overerving.
  • Machtigingen weigeren – Het toewijzen van een machtiging Weigeren aan een systeemelement heeft voorrang boven alle Toestemmingen toestaan die het element mogelijk heeft geërfd van de bovenliggende objecten.
2.1.9.2.2. Begrijpen van efficieve toegang

Een beveiligings-principal kan op veel manieren machtigingen ontvangen en dit is belangrijk voor beheerders om te begrijpen hoe deze machtigingen op elkaar inwerken. De combinatie van Toestaan machtigingen en Weigerrechten die een beveiligings-principal voor een bepaald systeem element ontvangt, hetzij expliciet toegewezen, geërfd of ontvangen via een groepslidmaatschap, is de effectieve toegang voor dat element genoemd. Omdat een beveiligings-principal machtigingen uit zoveel bronnen kan ontvangen, komen conflicten voor die machtigingen vaak voor, dus er zijn regels die bepalen hoe de machtigingen worden gecombineerd om de effectieve toegang te vormen. Deze regels zijn als volgt:

  • Toestaan permissies zijn cumulatief – Wanneer een beveiligings-principal Toestaan ontvangt machtigingen van meer dan één bron, worden de machtigingen gecombineerd om de effectieve toegangsrechten. Als Alice bijvoorbeeld de optie Lezen en ontvangen ontvangt Machtigingen voor de mapmapinhoud toestaan voor een map door ze over te nemen van de map bovenliggende map en ontvangt de machtigingen Schrijven schrijven en Toestaan wijzigen voor de dezelfde map van een groepslidmaatschap, Alice’s effectieve toegang voor de map is de combinatie van alle vier machtigingen.
  • Weiger permissies overschrijven Toestaan permissies – Wanneer een beveiligings-principal Toestaan permissies ontvangt, expliciet, door overerving of van een groep, kunt u die machtigingen overschrijven door de belangrijkste machtigingen voor Weigeren voor hetzelfde type toe te kennen. Als Alice bijvoorbeeld de machtigingen lezen Toestaan en folder lezen Toestaan toestaat voor een bepaalde map door overerving, en de machtigingen schrijven Toestaan en wijzigen Toestaan ontvangt voor dezelfde map van een groepslidmaatschap, zal het expliciet verlenen van de Deny permissies voor die map ervoor zorgen dat ze op geen enkele manier toegang heeft tot deze map.
  • Expliciete machtigingen hebben voorrang op overgenomen rechten – Wanneer een beveiligings principal machtigingen ontvangt door deze te erven van ouder of van groeplidmaatschappen, kunt u deze overschrijven door expliciet tegenovergestelde machtingingen voor de beveiligings-principal zelf toe te wijzen. Bijvoorbeeld, als Alice de Weigering volledige toegangsmachtiging voor een map erft, waarbij haar gebruikersaccount expliciet de Toestaan volledige toegangsmachtiging voor die map toestaatn, overschrijft dat de weigering.

Natuurlijk kunt u, in plaats van alle mogelijke toestemmingsbronnen te onderzoeken en te evalueren gewoon het dialoogvenster Geavanceerde beveiligingsinstellingen openen en op het tabblad Effectieve toegang klkken. Op dit tabblad kunt u een gebruiker, groep of apparaat selecteren en de effectieve toegang bekijken met of zonder de invloed van specifieke groepen.

2.1.9.2.3. Basis NTFS permissies toewijzen

De meeste bestandsserverbeheerders werken vrijwel uitsluitend met standaard NTFS-machtigingen omdat bij de meest voorkomende toegangscontroletaken ze niet rechtstreeks hoeven te werken geavanceerde rechten. Onderstaande tabel geeft een overzicht van de basisrechten die u kunt toewijzen aan NTFS bestanden of mappen, en de mogelijkheden die zij verlenen aan hun eigenaars.

Standaard permissieToegepast op een map laat een beveiligings-principal toe:Toegepast op een bestand, laat een beveiligings-principal toe:
Volledig beheerMaprechten te wijzigen
Eigenaarschap van de map te nemen
Submappen en bestanden in de map te verwijderen
Alle acties uitvoeren die horen bij alle andere NTFS-mapmachtigingen		Bestandsrechten te wijzigen
Eigenaarschap van het bestand te nemen
Alle acties uitvoeren die horen bij alle andere NTFS-bestandsrechten
WijzigenDe map verwijderen
Alle acties uitvoeren die horen bij de machtigingen Schrijven en Lezen en Uitvoeren		Het bestand wijzigen
Het bestand verwijderen
Alle acties uitvoeren die horen bij de machtigingen Schrijven en Lezen en uitvoeren
Lezen en UitvoerenNavigeren door beperkte mappen om andere bestanden en mappen te bereiken
Alle acties uitvoeren die zijn gekoppeld aan de machtigingen Lezen en Weergeven mapinhoud		Alle acties uitvoeren die horen bij de machtiging Lezen
Toepassingen uitvoeren
Map weergevenBekijk de namen van de bestanden en submappen in de mapNiet toepasbaar
LezenBekijk de bestanden en submappen in de map
Bekijk het eigendom, de machtigingen en attributen van de map		Lees de inhoud van het bestand
Bekijk het eigendom, de machtigingen en attributen van het bestand
SchrijvenMaak nieuwe bestanden en submappen in de map
Wijzig de mapkenmerken
Bekijk het eigenaarschap en de machtigingen van de map		Overschrijf het bestand
Wijzig de bestandskenmerken
Bekijk het eigenaarschap en de rechten van het bestand

Om basis NTFS-machtigingen toe te wijzen aan een gedeelde map, zijn de opties in wezen hetzelfde als met deelrechten. U kunt het eigenschappenvenster van de map openen in de bestandsverkenner en het tabblad Beveiliging selecteer, of u kunt het eigenschappenvenster van een share in de Server Manager openen, zoals in de volgende procedure.

  1. Meld u aan bij Windows Server 2016 met een account met domeinbeheer privileges. Het venster Serverbeheer verschijnt.
  2. Klik op het pictogram Bestands- en opslagservices en klik in het submenu dat verschijnt Aandelen. De pagina Shares verschijnt.

Toestemmingen toewijzen aan elk bestand

NTFS-machtigingen zijn niet beperkt tot gedeelde mappen. Elk bestand en elke map op een NTFS-volume heeft een ACL. Terwijl deze procedure het proces beschrijft van machtigingen toewijzen aan een gedeelde map, kunt u het eigenschappenvenster voor elk bestand of elke map in een bestandserkenner openen, klik op het tabblad Beveiliging en werk op dezelfde manier met de NTFS-machtigingen.

  1. Klik in de tegel Shares met de rechtermuisknop op een share en selecteer Eigenschappen in het contextmenu. Het eigenschappenvenster voor de share verschijnt.
  2. Klik op Machtigingen. De pagina Machtigingen wordt weergegeven.
  3. Klik op Machtigingen aanpassen. Het dialoogvenster Geavanceerde beveiligingsinstellingen voor de gedeelde map verschijnt met het tabblad Machtigingen. Deze dialoogvenster komt zo dicht mogelijk in de buurt als de grafische interface van Windows kan weergeven om de inhoud van een ACL weer te geven. Elke regel in de lijst Machtigingen is in wezen een ACE en bevat de volgende informatie:
    • Type – Geeft aan of het item de toestemming toestaat of weigert.
    • Principal – Hiermee geeft u de naam op van de gebruiker, groep of apparaat die de toestemming ontvangt.
    • Toegang – Hiermee geeft u de naam op van de machtiging die is toegewezen aan de beveiligings-principal. Als het item wordt gebruikt om meerdere geavanceerde machtigingen toe te wijzen, verschijnt het woord Special in dit veld.
    • Inherited from – Geeft aan of de machtiging wordt overgenomen en, zo ja, van waar het wordt geërfd.
    • Applies to – Geeft aan of de machtiging door ondergeschikte moet worden overgenomen objecten en, zo ja, door welke.


       
  4. Klik op Toevoegen. Een dialoogvenster Toestemming invoeren voor de share verschijnt.
  5. Klik op de koppeling Selecteer een Principal om de Gebruiker, Computer, Service Account of Groep dialoogvenster weer te geven.
  6. Typ de naam van of zoek naar de beveiligings-principal aan wie u machtigingen delen wilt toewijzen en klik op OK. Het dialoogvenster Toestemming invoeren geeft de beveiligings-principal die u hebt opgegeven.


     
  7. Selecteer in de vervolgkeuzelijst Type het type machtigingen dat u wilt toewijzen (Toestaan of Weigeren).
  8. Geef in de vervolgkeuzelijst Van Toepassing op van welke submappen en bestanden de rechten die u toewijst moeten worden overnemen.
  9. Schakel de selectievakjes voor de basisrechten in die u wilt toewijzen en klik op OK. In het dialoogvenster Geavanceerde beveiligingsinstellingen wordt de nieuwe toegangscontrole weergegeven die net gemaakt zijn.
  10. Klik op OK om het dialoogvenster Geavanceerde beveiligingsinstellingen te sluiten.
  11. Klik op OK om het eigenschappenvenster te sluiten.

Grote machtigingstoewijzingen

Het toewijzen van machtigingen aan een enkele map duurt slechts een moment, maar voor een map met veel bestanden en submappen die eraan ondergeschikt zijn, kan het proces lang duren, omdat het systeem de ACL van elke map en elk bestand moet wijzigen.

2.1.9.2.4. Geavanceerde NTFS permissies toewijzen

In Windows Server 2016 is de interface voor het beheer van geavanceerde machtigingen geïntegreerd in dezelfde interface die u gebruikt om basisrechten te beheren. In het dialoogvenster Toestemming invoeren, klikt u op de koppeling Geavanceerde machtigingen weergeven om de lijst met basisrechten te wijzigen in een lijst met geavanceerde machtigingen. U kunt vervolgens geavanceerde machtigingen toewijzen in elke combinatie, net zoals u basisrechten zou doen. Onderstaande tabel geeft een overzicht van de geavanceerde NTFS-machtigingen die u kunt toewijzen aan bestanden en mappen en de mogelijkheden die ze hun eigenaars bieden.

Geavanceerde machtigingenFuncties
Volledig beheerMet de machtiging Volledig beheer worden beveiligings-principals alle andere geavanceerde machtigingen toegestaan of geweigerd.
Door map bladeren/Bestand uitvoerenDe machtiging Door map bladeren staat toe of weigert beveiligings-principals om door mappen te bladeren waartoe zij geen toegang hebben. zodat ze bestanden of mappen kunnen bereiken waartoe ze wel toegang hebben. Deze toestemming is alleen van toepassing op mappen.De machtiging Bestand uitvoeren staat toe of weigert beveiligings-principals om programmabestanden uit te voeren. Deze toestemming is alleen van toepassing op bestanden.
Map weergeven/Gegevens lezenMet de machtiging Map weergeven kunnen beveiligings-principals de mogelijkheid krijgen om de bestands- en submapnamen in een map te bekijken. Deze toestemming is alleen van toepassing op mappen.De machtiging Gegevens lezen staat toe of weigert beveiligings-principals de mogelijkheid om de inhoud van een bestand te bekijken. Deze toestemming is alleen van toepassing op bestanden.
Kenmerken lezenStaat toe of weigert beveiligings-principals de mogelijkheid om de NTFS-kenmerken van een bestand of map te bekijken.
Uitgebreide kenmerken lezenStaat toe of weigert beveiligings-principals de mogelijkheid om de uitgebreide attributen van een bestand of map te bekijken.
Bestanden maken/Gegevens schrijvenDe machtiging Bestanden maken staat toe of weigert beveiligings-principals om bestanden in de map te maken. Deze toestemming is alleen van toepassing op mappen.De machtiging Gegevens schrijven staat toe of weigert beveiligings-principals de mogelijkheid om het bestand te wijzigen en bestaande inhoud te overschrijven. Deze toestemming is alleen van toepassing op bestanden.
Mappen maken/Gegevens toevoegenDe machtiging Mappen maken staat toe of weigert beveiligings-principals om submappen in een map te maken. Deze toestemming is alleen van toepassing op mappen.De machtiging Gegevens toevoegen staat toe of weigert beveiligings-principals om gegevens toe te voegen aan het einde van het bestand, maar niet om bestaande gegevens in het bestand te wijzigen, verwijderen of te overschrijven. Deze toestemming is alleen van toepassing op bestanden.
Kenmerken schrijvenStaat toe of weigert beveiligings-principals de mogelijkheid om de NTFS-kenmerken van een bestand of map te wijzigen.
Uitgebreide kenmerken schrijvenStaat toe of weigert beveiligingsbeginselen de mogelijkheid om de uitgebreide kenmerken van een bestand of map te wijzigen.
Mappen en bestanden verwijderenStaat toe of weigert beveiligings-principals submappen en bestanden te verwijderen, zelfs als de machtiging Verwijderen niet is verleend voor de submap of het bestand.
VerwijderenStaat toe of weigert beveiligings-principals het bestand of de map te verwijderen.
LeesmachtigingenStaat toe of weigert beveiligingsbeginselen de mogelijkheid om de machtigingen voor het bestand of de map te lezen.
Machtigingen wijzigenStaat toe of weigert beveiligingsbeginselen de mogelijkheid om de machtigingen voor het bestand of de map te wijzigen.
Eigenaar wordenStaat toe of weigert beveiligings-principals het eigendom van het bestand of de map te nemen.
SyncroniserenStaat toe of weigert verschillende threads van multithreaded, multiprocessorprogramma’s om te wachten op het handvat voor het bestand of de map en te synchroniseren met een andere thread die dit zou kunnen signaleren
2.1.9.2.5. Eigenaarschap van een bron begrijpen

Terwijl u het NTFS-machtigingssysteem bestudeert, beseft u dat het mogelijk is een bestand of map te vergrendelen, dat wil zeggen, een combinatie van machtigingen toepassen die toegang tot niemand maaer toelaat, waardoor het bestand of de map ontoegankelijk is.

Een gebruiker met beheerdersrechten kan zijn of haar eigen machtigingen intrekken, evenals die van anderen, waardoor ze geen toegang tot een bron hebben. Het NTFS machtigingensysteem bevat een “achterdeur” om te voorkomen dat deze zwevende bestanden permanent ontoegankelijk blijven.

Elk bestand en elke map op een NTFS-schijf heeft een eigenaar en deze eigenaar kan de machtigingen voor het bestand of de map altijd wijzigen, zelfs als de eigenaar zelf geen machtigingen heeft. De eigenaar van een bestand of map is standaard het gebruikersaccount die deze heeft gemaakt. Hoe dan ook, elk account met de geavanceerde machtiging Take Ownership (of de basiscontrole voor Toestemming Volledig beheer) kan eigenaar worden van het bestand of de map.

De beheerder kan eigenaar worden van elk bestand of elke map, zelfs waarvan de vorige eigenaar alle beheerdersrechten heeft ingetrokken. Nadat de beheerder het eigenerschap van een bestand of map heeft genomen, kan hij of zij het eigendom niet teruggeven aan de vorige eigenaar. Dit voorkomt dat het beheerdersaccount onopgemerkt.toegang heeft tot de bestanden van andere gebruikers.

Het andere doel voor het bezit van bestanden en mappen is om schijfquota te berekenen. Wanneer je quota instellen die de maximale hoeveelheid schijfruimte specificeert die bepaalde gebruikers kunnen verbruiken, berekent Windows het huidige schijfgebruik van een gebruiker door de grootte van alle bestanden en mappen toe te voegen waarvan de gebruiker eigenaar is.

Als u het eigendom van een bestand of map wilt wijzigen, moet u het tabblad Effectieve toegang openen van het dialoogvenster Geavanceerde beveiligingsinstellingen en de link Wijzigen bij de instelling Eigenaar selecteren.