Server 10.4. Benutzerrechte fehlerhaft

T

Tomsn

Neues Mitglied
Thread Starter
Dabei seit
09.08.2005
Beiträge
19
Reaktionspunkte
0
Nach wochenlangem Suchen im WorldWideWeb und etlichen (nicht gerade von Kompetenz strotzenden) Telefonaten mit der Apple Hotline versuche ich mein Glück hier.

Wir haben seit Erscheinen von OSX 10.4 Server das System hier bei uns in der Firma installiert und nur Probleme mit den Benutzerrechten.

Genau gesehen ist es so, das die im Arbeitsgruppen-Manager eingestellten Benutzerrechte nicht übernommen werden. Wenn ich von meinem Rechner aus einen neuen Ordner bzw. Datei erstelle, kann das von keinem anderen mehr geändert werden, da die Arbeitsgruppe nur Leserechte hat, obwohl im Arbeitsgruppen-Manager ganz klar Lesen&Schreiben definiert ist.

Bei meiner Suche bin ich auch Threads gestossen, die gleiche Probleme hatten, scheint also ein Bug zu sein. Leider habe ich noch nirgends eine zufriedenstellende Lösung gefunden.

Vielleicht kann mir ja hier jemand weiterhelfen.


PS: Aktuell ist 10.4.2 installiert
 
wie setzt du die zugriffsberechtigungen

USER
Group
All

oder rein über die ACL
 
Über Group und die ACL´s.
 
Hallo zusammen,

leider besteht das Problem noch immer.

Ich hab im Arbeitsgruppenmanager einen Ordner inklusive deren Unterordner freigegeben und auch die Zugriffssteurungslisten aktiviert.

Als Eigentümer ist der Admin angebeben, als Gruppe unsere Arbeitsgruppe. Beide haben "lesen & schreiben" Rechte, für Jeder ist "Ohne" eingepflegt. Wenn ich diese Rechte nun speichere und an die enthaltenen Ordner und Dateien übertrage und als User A eine neue Datei auf dem Server erstelle, hat nur der Eigentümer (Benutzer A) "Schreiben & Lesen" Rechte, die Arbeitsgruppe hingegen "nur lesen".

Das Problem konnte ich dadurch umgehen, das ich die Arbeitsgruppe zusätzlich noch in die Zugriffssteuerungslisten mit "Lesen & Schreiben" Rechte eingepflegt, das Ganze gespeichert und übertragen habe.

Jetzt sieht es so aus, das bei einer neu erstellten Datei von User A alle anderen Mitglieder der Arbeitsgruppe "Lesen & Schreiben" Rechte angezeigt bekommen und auch haben, allerdings unter Informationen weiterhin bei der Arbeitsgruppe "Nur Lesen" steht.

Soweit, so gut. Damit könnte ich leben, auch wenn es keine saubere Lösung ist. Problem nun ist, wenn mein Chef einen neuen Ordner anlegt und ihn nur für eine bestimmte Arbeitsgruppe freigeben will, können trotzdem alle darauf zugreifen. Ich denke, das hängt mit den Benutzerrechten der Arbeitsgruppe in den Zugriffssteuerungslisten zusammen und das diese unabhängig der mittels Apfel + I einzustellenden Zugriffsrechte überall aktiviert sind.

Ich hoffe, ich konnte mich klar ausdrücken. Da wir ein sehr kleines Unternehmen sind, haben wir keinen Netzwerkadmin und ich selbst bin auch eher zufällig der zweifelhaften Ehre zuteil geworden, mich um den Server zu kümmern.


Aktuell ist 10.4.3 installiert.
 
welche client habt ihr im einsatz? die anzeige mit den rechte habe ich auch schon bemerkt. habe gerade keinen testserver zur verfügung wenn ihr client vor 10.4 habt dann kann ich mir diese anzeige vorstellen, weil diese ja kein ACL hatten. tritt dies auch bei 10.4 auf?
 
Client sind alle auf 10.4.3
 
Ich vermute dass das Problem bei den ACLs liegt. Diese liegen in der Priorität höher als die herkömmlichen Unixrechte.
Das hat zum einen wie bereits erwähnt zur Folge dass ein Client der die ACL nicht versteht u.U. nix darf.
Andererseits kann auch ein Client der mit ACL was anfangen kann keine Rechte haben wenn die der ACL evtl. sehr viel restriktiver sind als die Standardrechte. Erschwerend kommt hinzu dass sich Rechte vererben lassen mit ACL.
Mir hat folgende Seite zum Thema sehr geholfen:
http://maczealots.com/articles/acl/
Am Ende finden sich auch einige Links.
Dass der Applesupport mit so einem Thema überfordert ist überrascht mich nicht.

Grüße,
Flo
 
auf den client ist die acl-funktion nicht automatisch aktiviert man kann sie mit folgendem befehl einschalten "fsaclctl" was aber nicht notwendig sein sollte. arbeite mal nur mit den acl ohne die posix-rechte zu benutzen und teste ob dies besser funktioniert, weil wenn man beide benutzt erst die acl und dann die posix dazu addiert werden usw.
 
Reihenfolge der Rechteanwendung:

Bei der Anwendung eines Zugriffsrechtes geht das System in folgender Weise vor:

1. Sind keine ACE´s innerhalb der ACL gesetzt, dann werden die POSIX Zugriffsrechte (lesen, schreiben, ausführen - rwx) abgewandt.

2. Verfügt das ACL eines Dateiobjekt über einen oder mehrere ACE Eintäge geht das System von oben nach unten die gesetzten Zugriffsrechte durch. "Allow"-Rechte werden addiert und das erste "Deny"-Recht angewandt.

3. Nach Überprüfung der ACE´s innerhalb der ACL werden ggf. die POSIX Zugriffsrechte überpürft und angewandt.

Ich hoffe dies hilft dir auch etwas weiter. Was spricht eigentlich dagegen nur die POSIX Zugriffsrechte einzusetzten?

Gruß
KoppC
 
KoppC schrieb:
Was spricht eigentlich dagegen nur die POSIX Zugriffsrechte einzusetzen?
Zum Vergrößern anklicken....


Die inkorrekte Funktionsweise spricht dagegen. Wie ich weiter oben ja schon erläutert hatte, wird der Gruppe trotz auf "lesen & schreiben" gesetzter Zugriffsrechte lediglich ein "nur lesen" Zugriffsrecht gewährt. So kann eine Datei, die von User A erstellt wurde, weder von User B,C oder D ect. geändert werden. Selbiges mit erstellten Ordnern.

Außer ich hab irgendwas Essentielles übersehen, das so simpel ist, dass es in keinem Thread oder Artikel besondere Erwähnung findet, das ganze System aber zunichte machen kann.
 
wenn du nur mit den POSIX arbeiten willst muß du auf der plattenfreigabe die acl deaktivieren und bei den protokollen "Vom umschließenden Objekt übernehmen" auswählen, damit die Rechte der übergeordneten Ordner genommen werden. so arbeiten wir und es funkt wunderbar.

gruß und schönes wochenende
koppc
 
Ich denke nicht das die Unixrechte einfach so nicht funktionieren.
Da wirst Du wohl nicht umhin kommen mal Deine ACL-Einstellungen zu prüfen.
Nochmal:
Wenn in den ACEs einer Datei/Ordner Rechte gesetzt sind die restriktiver sind als die gesetzten Standardberechtigungen, dann gelten die Standardrechte nicht. Diese sind eigentlich nur noch dafür da um alle Fälle abzudecken die nicht von der ACE bedacht sind. Und eben tricky: die Vererbung. Wenn eine Datei vom übergeordneten Ordner bestimmte Rechte erbt sind die nicht zu sehen. Da hilft nur ein Blick in die Rechte des Ordners.
Mir scheint Du hast einfach ein strukturelles bzw. ein Verständnisproblem. Lies doch einfach mal die gegebenen Links durch, das hilft wirklich. Und im Zweifelsfall würde ich empfehlen ganz auf die ACLs zu verzichten.

Folgendes Beispiel zeigt ja dass ausser den Unixrechten noch eine andere (ACE) Rechtevergabe hier greifen muss, sonst würde der Gruppe ganz sicher lesen und schreiben gewährt werden:
Tomsn schrieb:
...wird der Gruppe trotz auf "lesen & schreiben" gesetzter Zugriffsrechte lediglich ein "nur lesen" Zugriffsrecht gewährt....
Zum Vergrößern anklicken....

Grüße,
Flo
 
lengsel schrieb:
Mir scheint Du hast einfach ... ein Verständnisproblem.
Zum Vergrößern anklicken....


Das ist gut möglich. :rolleyes:


Ich versuch mich noch mal dran und melde mich wieder.

Vielen Dank schon jetzt für die blitzschnelle Hilfe.



EDIT:


Super, es funktioniert!!!!!

Ich meine zwar, das im am Anfang meiner Odyssee die selbe Einstellung schon mal erfolglos versucht hatte, aber das wahl wohl noch mit der 10.4.0

Auf jeden Fall vielen Dank. So finden die endlosen Stunden in unserem klaustrophobisch engen Serverraum nun endlich doch ein Ende.

Jetzt muß ich nur noch meinem Chef den "vollständigen" Zugriff verschaffen, damit er bei von ihm erstellten Ordnern die Gruppe ändern kann. Hoffentlich benötige ich dafür KEINE ACL´s. ;)


Bis dann
 
Zuletzt bearbeitet:
Alles wird gut :)

Grüße,
Flo
 
Häng mich mal ran...

Ich habe hier ein kleines Heimnetzwerk. Klein und überschaubar. Keiner braucht sich Sorgen zu machen, dass etwas gelöscht wird, was nicht gelöscht werden darf.

Jetzt habe ich auf dem 1. Rechner das Verzeichnis "Für alle Benutzer" so eingestellt:
Owner: mactie | read + write
Group: wheel | read + write (beide User sind über SharePoints in dieser Gruppe eingetragen)
Others: no rights
Diese Einstellungen "Auf alle Unterobjekte angewandt". So weit so gut.

Aber: ich verstehe das immer noch nicht mit der Vererbung der Rechte. Wenn ich (wie vom Threadersteller beschrieben) einen neuen Ordner anlege, bekommt er folgende Attribute:
Owner: mactie | read + write (is ja logisch)
Group: wheel | nur read --> warum?
Others: no rights

Jetzt mal im Klartext: gibt es eine Möglichkeit Rechte zu vereben, ohne ACE? Das hier hört sich eigentlich nach meiner Lösung an, aber ich habe keinen Plan welche "Protokolle" gemeint sind:
KoppC schrieb:
wenn du nur mit den POSIX arbeiten willst muß du auf der plattenfreigabe die acl deaktivieren und bei den protokollen "Vom umschließenden Objekt übernehmen" auswählen, damit die Rechte der übergeordneten Ordner genommen werden. so arbeiten wir und es funkt wunderbar.
Zum Vergrößern anklicken....
Bin für jeden Tipp dankbar! :)

Edit: ist übrigens kein Server im Einsatz; einfach nur Tiger Clients
 
Zuletzt bearbeitet:
Ich hatte da noch eine weitere Idee:

ext. HDD´s haben doch immer die Option "Eigentümer auf diesem Volume ignorieren". Kann man das nicht evtl. auch auf ein einzelnes Verzeichnis anwenden?
 
nimm das Tool "SharePoints", damit kannst Du grafisch alles nötige einstellen. Good Luck.
 
Mit Share Points habe ich es schon probiert. Es funktioniert auch soweit gut. Das Problem ist allerdings nur, dass die Rechte nicht auf Dateien vererbt werden.

Ich kann mit SharePoints zwar ein Verzeichnis freigeben und die gewünschten Rechte vergeben. Dies gilt dann allerdings nicht für neue Dateien oder Ordner, die ich innerhalb dieses Verzeichnisses erzeuge oder dorthin kopiere.

Am einfachsten ist es, wenn Du dir noch mal meinen etwas älteren Post Nr. 15 durchliest. Dort habe ich es ganz gut erklärt. Danke trotzdem! :)
 
Moin, moin,

ich habe ein ähnliches Problem, wenn ich mich über afp auf unseren Server anmelde, komme ich in jeden Ordner auf den ich auch die Rechte habe. Melde ich mich über SMB an komme ich an bestimmte Ordner ran, obwohl ich dort auch Zugriff habe.
Hat da einer ne Idee von euch ?????

Server ist 10.4.4
Client´s 10.3.9 und 10.4.4
Windows 2000 SP4 und Win

Gruß Buell
 
Sorry, aber diese Frage verstehe ich nicht. Du kommst per afp und per smb an alle Ordner für die Du Rechte hast. Das ist doch auch so gedacht - oder nicht?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten