Mac OSX Server und Zugriffsrechte

  • Ersteller premierminister
  • Erstellt am
P

premierminister

Aktives Mitglied
Thread Starter
Dabei seit
02.10.2007
Beiträge
135
Reaktionspunkte
1
Hallo,

das Problem nervt zunehmend, vermutlich bin ich einfach zu blöd in der Server-Verwaltung das Richtige einzustellen ;-)

Auf den Server greifen etwa 8 Mitarbeiter der "workgroup" zu, aber jedesmal, wenn ein Mitarbeiter einen neuen Ordner auf dem Server anlegt ist dieser Ordner für die anderen Mitarbeiter als "geschützt" markiert. Erst wenn ich auf dem Server die Rechte des Hauptordners (=alle dürfen lesen und schreiben) auf die Unterordner, und damit auch den neuen Ordner, übertrage, können wieder alle drauf.

Was muss ich anders konfigurieren, damit jeder neue Ordner automatisch für alle Lese/Schreiberechte hat?

Danke
 
Ich fange bald an zu verzweifeln! Beispiel: "Ordner A" hat lt. Info (Apfel-I) das Zugriffsrecht Lesen&Schreiben für Benutzer A.

Trotzdem kann Benutzer A
- keine ZIP Dateien in Order A entpacken (das muss er auf seinem Desktop machen und dann auf den Server in Ordner A reinkopieren)
- zwar neue Word Dokumente in Ordner A speichern, diese aber nicht mehr überschreiben (aus Word raus, dann kommt Fehlermeldung wegen fehlender Rechte)

HILFE! ;-)
 
Das Problem ist bekannt und hängt mit den Default-Rechten auf dem Client zusammen. Am Anfang habe ich es auch auf dem Clients geändert. Aber irgendwann war mir das zu blöd, weil man vergisst es bei einem neuen Mitarbeiter dann doch wieder.

Da gibt es eine andere Lösung: Auf dem Server müssen alle Benutzer einer entsprechenden Gruppe angehören. Dann gehst Du in den Server-Admin auf die Freigaben. Dann entweder auf die Freigabe direkt oder einen entsprechenden Order. Hier dann auf "Benutzer oder Gruppe ... hinzufügen" und fügst die entsprechende Benutzergruppe hinzu. Da setzt Du dann die gewünschten Rechte und zusätzlich unter "Gilt für" sagst Du halt, dass es auch für alle entsprechenden Unterebenen gelten soll. Diese ACL überschreiben dann die allgemeinen Benutzerrechte.

PS: Du brauchst dafür natürlich eine neue Benutzergruppe. Denn diese muss anders sein als die unter Gruppe aufgeführte Benutzergruppe.
 
Für Serverfragen haben wir das Serverforum → verschoben.
 
Pingu schrieb:
Das Problem ist bekannt und hängt mit den Default-Rechten auf dem Client zusammen. Am Anfang habe ich es auch auf dem Clients geändert. Aber irgendwann war mir das zu blöd, weil man vergisst es bei einem neuen Mitarbeiter dann doch wieder.

Da gibt es eine andere Lösung: Auf dem Server müssen alle Benutzer einer entsprechenden Gruppe angehören. Dann gehst Du in den Server-Admin auf die Freigaben. Dann entweder auf die Freigabe direkt oder einen entsprechenden Order. Hier dann auf "Benutzer oder Gruppe ... hinzufügen" und fügst die entsprechende Benutzergruppe hinzu. Da setzt Du dann die gewünschten Rechte und zusätzlich unter "Gilt für" sagst Du halt, dass es auch für alle entsprechenden Unterebenen gelten soll. Diese ACL überschreiben dann die allgemeinen Benutzerrechte.

PS: Du brauchst dafür natürlich eine neue Benutzergruppe. Denn diese muss anders sein als die unter Gruppe aufgeführte Benutzergruppe.
Zum Vergrößern anklicken....

In anderen Programmen ist es komischerweise kein Problem. Bspw. Indesign: Damit kann ich problemlos "überspeichern".
 
Kann ja sein, dass die die Benutzerrechte beim Schreiben anders setzen, als die Default-Einstellung für den Benutzer ist. ;o)
 
Hi premierminister

Ich kann dein Problem absolut nachvollziehen, hatte auch lange gebraucht bis es bei mir halbwegs funktioniert hat.

Das größte Problem ist, dass du 2erlei Arten von Zugriffsrechten hast, das POSIX-Modell (Unix-Standard) und die ACLs die POSIX-Rechte normalerweise umgehen. Was du mit Apfel+i abrufst hat meistens nichts mit den tatsächlichen Rechten zu tun.
Weiterhin ist das Problem dass POSIX-Rechte meines Wissens nicht von Überordnern "vererbt" werden, was ACLs wiederum schon tun.

Ich habe mit damit beholfen bei sämlichen Fraigaben erst die POSIX-Rechte mit "admin" als Eigentümer Lese-Schreibrechte, "admins" als Gruppe mit Lese-Schreibrechten und "everybody" mit Kein Zugriff auszustatten. So sollte kein Nutzer irgendetwas machen können bzw. sehen.

Jetzt kannst du bei ACLs die Gruppe "workgroup" reinziehen, dieser Gruppe Lese- und Schreibrechte erteilen und anschließend die ACLs (Zugriffssteuerungslisten) und zwar NUR die ACLs auf die Unterordner übertragen.

So sollte alles funktionieren und du hast als admin auch noch überall Lese- und Schreibrechte...

Frag mich nicht was dieses Apfel+i ausgibt. Bei mir hat das aber fast nie was mit der Realität zu tun. Kann aber auch damit zusammenhängen dass meine Benutzer alle im OD-Verzeichnis liegen.
Hast du die Nutzer lokal angelegt oder als OD?
 
  • Gefällt mir
Reaktionen: DirtyWorld
Hallo zusammen,

ich würde diesen Thread gerne wieder aufgreifen, da in unserem kleinen Büro mit einem OSX Server 10.6.7 (4x Mac 10.6 Clients (seit kurzem von 10.5 auf 10.6 geupdatet wie beim Server) + 6x Win7 Clients) nach befolgen der vielen guten Hinweise in diesem Forum bezüglich der Zugriffsrechte erstmal alles gut zu laufen schien. Doch scheinbar gab es bisher noch nie den Fall, dass 2 der Mac Clients in einem und demselben Ordner arbeiten mussten oder das Problem ist erst durch 10.6 entstanden - keine Ahnung.

Wir haben 4 verschiedene Benutzergruppen:

Alle: enthält alle externen Mitarbeiter als Benutzer und die Gruppen Office und GF
Office: enthält alle internen Mitarbeiter außer Geschäftsführer und die Gruppe GF
GF: enthält nur die Geschäftsführer als Benutzer
Admin: System Administrator / Directory Administrator

Außerdem haben wir 3 getrennte Shares:

daten_alle: können alle Benutzer/Gruppen zugreifen
daten_office: können nur Benutzer der Gruppen Office und GF zugreifen
daten_gf: können nur Benutzer der Gruppe GF zugreifen


Vorgehensweise:

Wir haben alle Shares mit den POSIX-Rechten wie Lutzministrator es vorgeschlagen hat versehen, also Eigentümer=admin (Lesen+Schreiben) / Gruppe=admin (Lesen+Schreiben) / Rest=Welt (kein Zugriff).
Ansonsten wurden die Zugriffsrechte für die Shares entsprechend der Benutzergruppen in den ACLs eingetragen, also:
daten_alle: die Gruppe Alle mit Lesen+Schreiben (nebst Vererbung auf Unterordner)
daten_office: die Gruppe Office mit Lesen+Schreiben (nebst Vererbung auf Unterordner)
daten_gf: die Gruppe GF mit Lesen+Schreiben (nebst Vererbung auf Unterordner)

Nun zum Problem:

Wenn nun ein Mac-Client (egal welcher Benutzergruppe angehörig und auf welchem Share) einen Ordner erstellt oder kopiert, dann werden die ACLs korrekt übernommen, aber bei den Posix rechten steht dann:

Eigentümer=Benutzername (Lesen+Schreiben)
Gruppe=die zugewiesene Gruppe (Nur Lesen)
Rest=Welt (Kein Zugriff)

Das bewirkt, dass die anderen Mac-Clients keine Ordner / keine Datei in diesem Ordner speichern, anlegen oder reinkopieren können. Dateien in diesem Ordner können hingegen geöffnet werden und nur ab und zu schreibgeschützt sind (das scheint aber eher ein Problem von Office zu sein, weil es da öfters Probleme mit dem Locking gab/gibt). Die Win7-Clients hingegen können munter den Ordner umbenennen, Ordner erstellen etc.pp.

Außerdem sind von Win7-Clients erstellte Ordner oder Dateien auch immer mit den korrekten, nämlich den vom übergeordneten Ordner geerbten Zugriffsrechten versehen, also z.B:

Eigentümer=admin (Lesen+Schreiben)
Gruppe=admin (Lesen+Schreiben)
Rest=Welt (Kein Zugriff)

Es sei denn, ein Win7-Client erstellt eine Datei oder einen Ordner in einem vorher von einem Mac-Client erstellten Ordner mit den verkorksten Posix-Rechten. Dann werden diese übernommen (aber eben korrekter Weise geerbt).

Was soll das? Was hat sich Apple dabei gedacht und wie kann ich es beheben? Ist ja nicht so, dass wir hier einen Windows-Server stehen haben und die MAcs damit Probleme haben, nein. Bei einem Mac-Server haben die Macs Probleme und die Win-Clients machen alles korrekt. Das kann doch nciht sein!?

Bin für jede Hilfe sehr dankbar.

Cheers
K.
 
Die für dein Problem wichtigen Zugriffsrechte sollten ja ACL-gesteuert sein - insofern sind die Posixrechte erstmal nebensächlich (obwohl das schon komisch ist).

Nimm mal einen solchen Ordner (mit den beschriebenen Problemen), wähl ihn unter -> ServerAdmin -> Freigaben -> aus und wähl dann aus dem Zahnradmenu -> Tatsächliche Zugriffsrechte einblenden.
Nun ziehst du aus dem -> Benutzer & Gruppen-Fenster -> einzelne Benutzer dorthin, wo in dem anderen Fenster "Benutzer:" steht.

Dann mal Meldung machen, wie sich das tatsächlich mit den Rechten des Ordners und auch von darin enthaltenen Dateien verhält...

Du schreibst "(nebst Vererbung auf Unterordner)" -> liegen die Problemordner vielleicht tiefer verschachtelt?
 
Zuletzt bearbeitet:
Hallo Umac,

vielen Dank für den Tipp, diese Art der Überprüfung kannte ich noch gar nicht. Hier waren die Zugriffsrechte für alle in Ordnung. Das Problem hab ich durch Zufall am WE lösen können, da wir noch ein älteres PowerBook G4 hier haben mit Mac OSX 10.5.xx. Letztlich wollte ich nur mal testen, ob es evtl. an 10.6 liegt. Mit dem Powerbook hatte ich dann auch tatsächlich nicht die Einschränkung wie oben beschrieben, das Problem war aber nicht die OSX-Version, sondern das Zugriffsprotokoll. Weil wir mit MS Office 2003/2004 und teilweise auch mit 2007/2008 Probleme mit dem Dokumenten-Locking hatten, haben wir auch die Macs per SMB mit dem Fileserver verbunden. Damit konnten wir die Locking-Probleme beheben. Nun hat der SMB-Zugriff der Macs anscheinend genau dazu geführt, dass die Zugriffsberechtigungen nicht mehr richtig gelesen, geschrieben oder was auch immer wurden. Nachdem ich die Macs wieder per AFP verbunden habe, funktioniert es wieder.

Einzig die POSIX-Rechte von neuen Dateien und Ordner werden nachwievor durch die Macs nicht richtig geerbt, also nachwievor so gesetzt:

Eigentümer=Benutzername (Lesen+Schreiben)
Gruppe=die zugewiesene Gruppe (Nur Lesen)
Rest=Welt (Kein Zugriff)

Aber die ACLs haben ja Vorrang, werden nun auch richtig interpretiert und daher erstmal Wumpe.

Danke & viele Grüße
K.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten