Hallo zusammen,
ich würde diesen Thread gerne wieder aufgreifen, da in unserem kleinen Büro mit einem OSX Server 10.6.7 (4x Mac 10.6 Clients (seit kurzem von 10.5 auf 10.6 geupdatet wie beim Server) + 6x Win7 Clients) nach befolgen der vielen guten Hinweise in diesem Forum bezüglich der Zugriffsrechte erstmal alles gut zu laufen schien. Doch scheinbar gab es bisher noch nie den Fall, dass 2 der Mac Clients in einem und demselben Ordner arbeiten mussten oder das Problem ist erst durch 10.6 entstanden - keine Ahnung.
Wir haben 4 verschiedene Benutzergruppen:
Alle: enthält alle externen Mitarbeiter als Benutzer und die Gruppen Office und GF
Office: enthält alle internen Mitarbeiter außer Geschäftsführer und die Gruppe GF
GF: enthält nur die Geschäftsführer als Benutzer
Admin: System Administrator / Directory Administrator
Außerdem haben wir 3 getrennte Shares:
daten_alle: können alle Benutzer/Gruppen zugreifen
daten_office: können nur Benutzer der Gruppen Office und GF zugreifen
daten_gf: können nur Benutzer der Gruppe GF zugreifen
Vorgehensweise:
Wir haben alle Shares mit den POSIX-Rechten wie Lutzministrator es vorgeschlagen hat versehen, also Eigentümer=admin (Lesen+Schreiben) / Gruppe=admin (Lesen+Schreiben) / Rest=Welt (kein Zugriff).
Ansonsten wurden die Zugriffsrechte für die Shares entsprechend der Benutzergruppen in den ACLs eingetragen, also:
daten_alle: die Gruppe Alle mit Lesen+Schreiben (nebst Vererbung auf Unterordner)
daten_office: die Gruppe Office mit Lesen+Schreiben (nebst Vererbung auf Unterordner)
daten_gf: die Gruppe GF mit Lesen+Schreiben (nebst Vererbung auf Unterordner)
Nun zum Problem:
Wenn nun ein Mac-Client (egal welcher Benutzergruppe angehörig und auf welchem Share) einen Ordner erstellt oder kopiert, dann werden die ACLs korrekt übernommen, aber bei den Posix rechten steht dann:
Eigentümer=Benutzername (Lesen+Schreiben)
Gruppe=die zugewiesene Gruppe (Nur Lesen)
Rest=Welt (Kein Zugriff)
Das bewirkt, dass die anderen Mac-Clients keine Ordner / keine Datei in diesem Ordner speichern, anlegen oder reinkopieren können. Dateien in diesem Ordner können hingegen geöffnet werden und nur ab und zu schreibgeschützt sind (das scheint aber eher ein Problem von Office zu sein, weil es da öfters Probleme mit dem Locking gab/gibt). Die Win7-Clients hingegen können munter den Ordner umbenennen, Ordner erstellen etc.pp.
Außerdem sind von Win7-Clients erstellte Ordner oder Dateien auch immer mit den korrekten, nämlich den vom übergeordneten Ordner geerbten Zugriffsrechten versehen, also z.B:
Eigentümer=admin (Lesen+Schreiben)
Gruppe=admin (Lesen+Schreiben)
Rest=Welt (Kein Zugriff)
Es sei denn, ein Win7-Client erstellt eine Datei oder einen Ordner in einem vorher von einem Mac-Client erstellten Ordner mit den verkorksten Posix-Rechten. Dann werden diese übernommen (aber eben korrekter Weise geerbt).
Was soll das? Was hat sich Apple dabei gedacht und wie kann ich es beheben? Ist ja nicht so, dass wir hier einen Windows-Server stehen haben und die MAcs damit Probleme haben, nein. Bei einem Mac-Server haben die Macs Probleme und die Win-Clients machen alles korrekt. Das kann doch nciht sein!?
Bin für jede Hilfe sehr dankbar.
Cheers
K.