Benutzerrechte im Home Verzeichnis

[Schiffversenker]

Hilft dir vermutlich nicht, aber mit High Sierra habe ich auch als Admin bei Dateien im Schreibtisch-Ordner die Rechte, die due für 1. Schreibtisch hast.
Ich würde an deiner Stelle mal testen, ob deine Vermutung zu 3. stimmt - das wäre aber in meinen Augen irgendwie auch eine Sicherheitslücke.

 

[lunchbreak]

Es geht mir in meinem Experiment jetzt um User, nicht um Admin, danke!

PS:
Zu meiner Vermutung bzgl. 3, ja, das teste ich später. Vorher, also wenn ich eine Antwort zu 1. und 2. habe, kommen dann erst noch die beiden anderen Tests, wo ich einem Ordner die Rechte entziehe und schaue, wie sich das dann darstellt.

BTW, ich nutze Monterrey.

 

[Schiffversenker]

Es geht mir in meinem Experiment jetzt um User, nicht um Admin, danke!
[…]

BTW, ich nutze Monterrey.

Ich weiß, ich wollte nur ein paar Daten beitragen, um vielleicht erkennen zu können, woran es liegt und ab wann der liebe Tim C. da rumgebastelt haben könnte.
Ich wollte auch als Nicht-Admin-User schauen, habe da aber bemerkt, daß ich irgendwie das Paßwort vergessen habe für meinen Party-/Test-Account...

 

[lunchbreak]

Hab jetzt doch zwischenzeitlich schon mal schnell den Test zu 3. gemacht:

...
Aaaaber:
Es gibt sowohl im 'Schreibtisch', wie auch in 'Dokumente' ein paar andere Dateien, da steht bei mir:

3. Schreibtisch / Dokumente:
(Ich) : Lesen & Schreiben
staff : Lesen & Schreiben
everyone: Lesen & Schreiben

Ich wüßte gerne warum? Ich glaube das sind Dateien, die ich mal auf einem Stick gespeichert habe und von dort dann auf die Festplatte - ich bin mir aber nicht mehr ganz sicher.
...

Ja, es scheint genau immer dann so zu sein, mit dem Lesen & Schreiben bei staff und everyone, wenn man die besagte Datei von einem Stick auf die Festplatte kopiert hat.

 

[jk350]

Wenn der Ordner Dokumente nur '(Ich) : Lesen & Schreiben' hat, gilt das für die Dateien unter diesem Ordner auch. Mann kann die Rechte unterhalb noch einschränken aber nicht erweitern.

 

[lunchbreak]

Wenn der Ordner Dokumente nur '(Ich) : Lesen & Schreiben' hat, gilt das für die Dateien unter diesem Ordner auch. Mann kann die Rechte unterhalb noch einschränken aber nicht erweitern.

Danke für die Rückmeldung zu meinem Punkt 2. Die Aussage stimmt so aber aber nicht. Oder hast Du es geprüft?

Die Frage war, welche Rechte eine Datei im Ordner 'Schreibtisch' (Punkt 1) und/oder 'Dokumente' (Punkt 2) in puncto Ich, staff, und everyone haben:

In dem Zusammenhang hätte ich noch eine Frage und eine Bitte. Es sind drei Aktionen, für die mich mal interessieren würde, wie das bei Euch aussieht.

Zunächst die eine:

Kann sich mal jemand als User (nicht Admin!) einloggen und dann auf seinem 'Schreibtisch' und in seinem Ordner 'Dokumente' mal auf je eine Datei klicken und dann CMD+i.

Steht da wie auch bei mir?

1. Schreibtsich
(Ich) : Lesen & Schreiben
staff : Nur Lesen
everyone: Nur Lesen

2. Dokumente
(Ich) : Lesen & Schreiben
staff : Nur Lesen
everyone: Nur Lesen

So ist es bei mir.
...

 

[jk350]

Dokumente und Schreibtisch haben bei mir '(Ich) : Lesen & Schreiben, everyone : keine Rechte'

 

[lunchbreak]

Dokumente und Schreibtisch haben bei mir '(Ich) : Lesen & Schreiben, everyone : keine Rechte'

Der Ordner? Oder Dateien unterhalb der Ordner? Und, staff hast Du gar nicht?

Welches macOS?

 

[jk350]

Der Ordner Dokumente und Ordner Schreibtisch haben bei mir '(Ich) : Lesen & Schreiben, everyone : keine Rechte', kein staff vorhanden.
Darunter haben Dateien und Ordner '(Ich) : Lesen & Schreiben, staff : Nur Lesen, everyone : Nur Lesen'.
Der Obere Ordner entscheidet auch alles Unterhalb.

 

[lunchbreak]

Nun denn. Bei mir ist es anders. Wie, das habe ich ja in #40 geschrieben und in #46 zitiert. Außerdem haben Dateien die von einem Stick nach Schreibtisch oder Dokumente kopiert werden wieder eine andere Ausprägung der Rechte, wie ebenfalls in #40 geschrieben. Von daher ist es so wie Du es sagst nicht (bei mir) - und schon gar nicht pauschal.

Ich vermute Du verwendest kein Monterrey.

 

[lisanet]

Für alle die sich hier aufregen:

es ist seit Ewigkeiten Standard die umask (die steuert die Zugriffsrechte) auf 022 zu setzen, was bedeutet, dass jeder auf dem System erst mal alle anderen Dateien lesen kann. So dumm ist das gar nicht, denn das Abschotten gegen Leserechte aller anderen User eines System hätte einige unangenehme Nebenwirkungen, die niemand haben möchte.

Unter unixoiden System ist es üblich, dass Dienste, wie z.B. der fürs drucken oder der fürs teilen a la Airdrop etc unter eignenen User-IDs laufen. Würde man nun standardmäßig die umask und damit die Zugriffsrechte für neu angelegte Dateien so einstellen, dass niemand außer dem Owner lesen kann, dann könnte man sehr, sehr wenig mit seinem Rechner anstellen. Noch nicht mal drucken, Mails empfangen etc.

Will man nun seine Daten vor anderen Lesezugriffen (nicht vor denen des Systems) schützen muss man halt andere Wege gehen. Die umask ist machbar, aber wie beschrieben nicht dauerhaft clever. Besser ist es da die üblichen Standardordner so einzurichten, dass andere User es nicht betreten können, ohne explitzite Datiefriegaben.

Diesen Weg geht macOS. Alle Standardordner (Dokumente, Bilder, Musik etc) sind erst mal nur für den Owner betretbar. Die Dateien darin aber weiterhin für alle lesbar. So kann niemand ins Verzeichnis kommen, aber eine explizite Freigabe auf eine Datei funktioniert weiterhin.

Ergo: verwende im Home-Verzeichnis nur die Standardordner oder falls du meinst du müsstest auf erster Ebene eigene Ordner anlegen (warum eigentlich, außer weil du es eben willst) dann musst du auch für die passenden Rechte sorgen. Aus o.g. Hintergründen heraus.

Mir ist klar, dass diese Ausführungen die Aufregung mamcher hier nicht befrieden wird und lieber weiter drauf los gemeckert wird. Aber ein klein wenig Sinn gibt es schon, wie macOS vorgeht.

Und ja es ist ein anderes System, wie eine Standard-Linux-Distri vorgeht. Aber für jeden User eine eigene Gruppe einzurichten ist nicht unbedingt der sinnvollere Weg, erfordert er bei mehreren Usern deutlich mehr Konfigurationsarbeit und vorallen Konfiguration, die tiefer im System statt finden muss, als die GUI-Möglichkeiten von macOS.

 

[picollo]

Gut erklärt.

 

[lunchbreak]

Mir geht es nur mal drum aufzuzeigen und für mich selbst verständlich zu machen, welche "User" i.S.v. Ich, staff, everyone es da für Dateien gibt und mit welchen Rechten diese ausgestattet sind.

Und für Dateien innerhalb z.B. Schreibtisch und Dokumente ist das jetzt klar. Nämlich:

(Ich): Lesen & Schreiben
staff: Nur Lesen
everyone: Nur Lesen

und

(Ich): Lesen & Schreiben
staff: Lesen & Schreiben
everyone: Lesen & Schreiben
... wenn die Datei vorher auf einem Stick war (warum auch immer das dann so ist).

Das interessante (für mich) ist, wie es aussieht und sich verhält wenn man manuell die Rechte an einem eigenen Ordner (der hierarchisch neben Dokumente im eigenen User-Verzeichnis liegt) anpasst/reduziert. Dazu schreibe ich später was. Für mich war das neu. Erstens wie man das macht / machen muß und was das Resultat dann ist.

VG

 

[lisanet]

(Ich): Lesen & Schreiben
staff: Lesen & Schreiben
everyone: Lesen & Schreiben
... wenn die Datei vorher auf einem Stick war (warum auch immer das dann so ist).

Das kommt drauf an, welches Format der Stick (oder die externe Platte) hat. So hat z.Bsp FAT32 keinerlei Möglichkeit die ganzen Unix-Rechte um die es hier geht überhaupt zu speichern.

Folge davon: kopierst du eine Datei von einem FAT32 Stick oder einer Platte, so kriegt der die Rechte die du siehst, nämlich Schreib- und Leserechte für alle, also für dich, staff und everyone.

Es gbit da noch weitere Effekt. Hast du eines der üblichen NAS von Synology oder QNAP (ich habe mein QNAO mittlerweile wieder verkauft, wegen der vielen eher ungewöhnlichen Implementierungen) so sind die Rechte, wenn du eine Datei vom NAS zurück auf den Mac kopierst auf Lesen+Schreiben nur für dich gesetzt und staff und everyone kann gar nichts, egal wie die Rechte waren als du das aufs NAS kopeirt hast.

Du siehst, eigentlich alles erklärbar, aber eben wegen der Vielzahl an unterschiedlichen Implementierungen von Rechten bei verschiedenen Systemen halt nicht einheitlich.

 

[picollo]

Zurück vom NAS auf Mac kopieren: bei mir sind die Zugriffsrechte so wie auf dem NAS gespeichert. Ändere ich auf dem Mac die Zugriffsrechte und kopiere die Dateien auf mein NAS, erhalten diese die gleichen Zugriffsrechte und eben umgekehrt zurück auch. Das Einzige was sich ändert sind die User/Group Namen der Dateien auf dem NAS und zwar mit dem Account wie ich darauf zugreife.

 

[steffmaster78]

Wen und was meinst Du?

Sorry ich glaube die Seite im Thread war nicht aktuell bei mir. So habe ich erst spät bemerkt, dass sich mein Kommentar auf einen uralt Beitrag bezogen hat.

 

[lunchbreak]

Mir geht es nur mal drum aufzuzeigen und für mich selbst verständlich zu machen, welche "User" i.S.v. Ich, staff, everyone es da für Dateien gibt und mit welchen Rechten diese ausgestattet sind.

Und für Dateien innerhalb z.B. Schreibtisch und Dokumente ist das jetzt klar. Nämlich:

<...>

Das interessante (für mich) ist, wie es aussieht und sich verhält wenn man manuell die Rechte an einem eigenen Ordner (der hierarchisch neben Dokumente im eigenen User-Verzeichnis liegt) anpasst/reduziert. Dazu schreibe ich später was. ...

Komme heute nicht mehr dazu und morgen geht der Wahnsinn wieder los...

Ich werde den Thread erst später wieder aufgreifen können, aber ich habe etwas herumexperimentiert und ein paar (für mich, das betone ich immer wieder) interessante Erkenntnisse erzielt. Diese möchte ich gern dokumentieren und teilen. Man kann jedenfalls für eine Datentrennung sorgen, wenn auch mit etwas Aufwand und Besonderheiten.

Auf bald. Und danke für die Interessante Diskussion.

 

[lunchbreak]

Ich möchte hier einfach noch ein paar Beobachtungen ergänzen / dokumentieren.

Mir geht es nur mal drum aufzuzeigen und für mich selbst verständlich zu machen, welche "User" i.S.v. Ich, staff, everyone es da für Dateien gibt und mit welchen Rechten diese ausgestattet sind.

Und für Dateien innerhalb z.B. Schreibtisch und Dokumente ist das jetzt klar. Nämlich:

(Ich): Lesen & Schreiben
staff: Nur Lesen
everyone: Nur Lesen

und

(Ich): Lesen & Schreiben
staff: Lesen & Schreiben
everyone: Lesen & Schreiben
... wenn die Datei vorher auf einem Stick war (warum auch immer das dann so ist).

...

Eine *.kdbx-Datei (also ein zu KeePassXC v2.6.6 gehörendes Datenbank-File) hat, warum auch immer:

(Ich): Lesen & Schreiben
staff: existiert nicht
everyone: Keine Rechte

Eine andere/normale Datei, z.B. eine *.rtf, die im gleichen Verzeichnis "neben" der *.kdbx liegt, hat hingegen das bekannte:

(Ich): Lesen & Schreiben
staff: Nur Lesen
everyone: Nur Lesen

VG

 

[Schlenk]

Eine *.kdbx-Datei (also ein zu KeePassXC v2.6.6 gehörendes Datenbank-File) hat, warum auch immer:

(Ich): Lesen & Schreiben
staff: existiert nicht
everyone: Keine Rechte

Bei mir ist das anders bei den kdbx Dateien.
Ich: Lesen und Schreiben
statt: Nur lesen
everyone: Nur lesen

 

[lisanet]

Ich möchte hier einfach noch ein paar Beobachtungen ergänzen / dokumentieren.



Eine *.kdbx-Datei (also ein zu KeePassXC v2.6.6 gehörendes Datenbank-File) hat, warum auch immer:

(Ich): Lesen & Schreiben
staff: existiert nicht
everyone: Keine Rechte

Eine andere/normale Datei, z.B. eine *.rtf, die im gleichen Verzeichnis "neben" der *.kdbx liegt, hat hingegen das bekannte:

(Ich): Lesen & Schreiben
staff: Nur Lesen
everyone: Nur Lesen

VG

nichts ungewöhnliches.

Die Rechte einer Datei und die Gruppenzugehörigkeit kann auch durch das verwendete Programm bestimmt werden. Es ist bei Passwörtern durchaus sinnvoll und üblich, die Rechte nur auf den eigentlichen User zu beschränken.