macOS Mojave Mit zwei Benutzern an einer Datei arbeiten

[gRafus]

Hallo zusammen,

ich mache irgendwas bei der Dateifreigabe falsch und komme nicht dahinter. Bzw. evtl. ist es auch nicht der von MacOs gedachte Weg, bin da kein Hardcore User und daher bei sowas immer nicht sicher, ob ich da nicht zu windowstechnisch denke. Folgendes, eigentlich sehr simples, Szenario:

Auf meinem Macbook gibt es zwei Nutzeraccounts, meinen Adminaccount und, da sie leider unglaublich chaotisch ist, getrennt davon den meiner Frau. Unter meinem Dokumenten habe ich jetzt für Ordner, die uns beide betreffen z.B. für das Haus, Sohnemann usw. Dateifreigaben eingerichtet.

Soweit ich mich erinnere, klappt das darin Ablegen von Dateien problemlos. Jetzt haben wir aber zum Beispiel eine Datei in der wir beide arbeiten und Eintragungen machen wollen (nicht zeitgleich). Und dabei werde ich wahnsinnig.

Unter "Informationen" der Datei habe ich dann bei "Teilen & Zugriffsrechte" ursprünglich beide Nutzer mit "Lesen & Schreiben" eingerichtet. Nun ändert das System aber irgendwie und irgendwann die Rechte so, dass entweder statt meiner Frau und mir mit jeweils einem Eintrag einer von uns beiden doppelt mit "Lesen & Schreiben" aufgeführt ist.

Ich habe das jetzt schon mehrfach hin und her gesetzt, wieder gelöscht (auch auf anderen Ebenen) aber irgendwas blicke ich da nicht oder da läuft was falsch. Wir wollen doch eigentlich nur unkompliziert in einem Ordner, bei dem wir beide lesen & schreiben dürfen, eine Datei ändern.

Vielleicht habt ihr ja noch einen Tipp oder eine ganz andere Lösung (geteilter Ordner!?).

Danke & schönen Sonntag!

 

[Andi]

Der Ordner Geteilt früher Für alle Benutzer innerhalb von /Macintosh HD/Benutzer/ wäre die richtige Wahl. Zieht einer von euch die Datei auf seinen Schreibtisch wird eine ACL vererbt. Ist jetzt meine Vermutung für den doppelten Eintrag.

 

[gRafus]

Alles klar, vielen Dank für die Antwort. Dann werde ich mal mit dem Ordner experimentieren. Irgendwie hatte ich den bis jetzt nicht so richtig auf dem Radar. Vielleicht hätten sie den alten Namen behalten sollen

Hätte mich trotzdem mal interessiert, wo sonst der Fehler liegen könnte.

 

[Andi]

Alles klar, vielen Dank für die Antwort. Dann werde ich mal mit dem Ordner experimentieren. Irgendwie hatte ich den bis jetzt nicht so richtig auf dem Radar. Vielleicht hätten sie den alten Namen behalten sollen

Hätte mich trotzdem mal interessiert, wo sonst der Fehler liegen könnte.

Sehe ich genauso. Wenn Du genau wissen willst welche Rechte die Datei hat musst Du das CLI bemühen. In der GUI kannst Du nur in der Serverversion ACL richtig sehen und vergeben.

 

[gRafus]

Sehe ich genauso. Wenn Du genau wissen willst welche Rechte die Datei hat musst Du das CLI bemühen. In der GUI kannst Du nur in der Serverversion ACL richtig sehen und vergeben.

Hey Andi, wenn du mir jetzt noch verraten könnte, was das CLI ist, dann mache ich da gerne weiter

Auf jeden Fall war es leider keine Wunderheilung das ganze über den geteilten Ordner abzuwickeln. Selbe Effekte wie zuvor, aus der Einstellung, dass beide Lesen & Schreiben dürfen, wird wie durch Zauberhand auf einmal nur noch eine gedoppelte Berechtigung für einen Account.

Ich muss gestehen, jetzt bin ich doch etwas geschockt, das kann (und darf) doch eigentlich nicht so schwer sein. Hätte es ja noch verstanden, wenn es vielleicht daran gelegen hätte, dass ich den dafür im System vorgesehenen Ordner nicht benutzte, aber so

Das ist echt etwas frustrierend :/

*Edit* Merkwürdig, ich dachte bevor ich die Antwort poste, schaue ich nochmal nach, weil ich das letzte Mal genervt aus gemacht habe. Jetzt stehen wir wieder bei berechtigt in der Datei. Da wirste doch schizophren...

*Edit2* War leider auch wieder zu früh gefreut, die Berechtigungen stehen zwar für uns beide drin, aber wenn ich mit dem zweiten Account in die Datei gehe, etwas ändere und speichern möchte, kommt wieder die Meldung, dass ich keine Zugriffsrechte hätte.

 

[Andi]

Vermutlich fällt 90 Prozent der User das gar nicht auf. Funktioniert es?

CLI - Command Line Interface /Programme/Dienstprogramme/Terminal.app
GUI - Graphical User Interface Finder.app

Im Terminal:

cd /Users/Shared/

(Im Finder ist das der Ordner „Geteilt“)

ls -el

(Jetzt siehst Du eine ACL - Access Control List falls vorhanden im Langformat -e und -l)

Jetzt merkt man schon (Du achtest auf Feinheiten) die Finder.app zeigt „userfreundlich“ an. In Deinem Fall „userunfreundlich“

So eine ACL kann auch auf einem Directory bzw. Ordner sein. Eine Datei erbt (oder auch nicht) die Rechte des übergeordneten Objekts.
Das hängt jetzt von der Vorgehensweise ab. Erzeugen, Bewegen oder Kopieren einer Datei und wo sich der Ordner befindet (Local oder Server) das ist bei Windows auch so.

Dateirecht: Lesen/Schreiben darf Alles.
ACL: Lesen/Schreiben darf aber nicht X (Löschen, Bewegen usw.)

Der Finder zeigt Dir halt nur einen Teil davon an. Die ACL kann auch mit den Dateirechten identisch sein. Dann kommen noch Eigentümer- und Gruppenrechte hinzu.

Musst Dich halt „reinmäuseln“ in das UNIX ...

 

[gRafus]

Hey Andi,

erstmal - danke soweit!

Vermutlich fällt 90 Prozent der User das gar nicht auf. Funktioniert es?

Das kann ich mir immer noch nicht vorstellen, dass unser Anwendungsfall so ausgefallen ist. Ich habe jetzt mal eine ganz neue Datei gleich im Ordner "Geteilt" erstellt und siehe da, sie hat dann auch gleich die default Rechte aus dem Geteilt Ordner übernommen (ich probiere mich mal bestmöglich auszudrücken ).

Erst gefreut, dann probiert, funktioniert natürlich trotzdem nicht. Nächster Schritt, erstmal per GUI die beiden Nutzer explizit ausgewählt mit Lesen & Schreiben - ging trotzdem nicht. Ok - irgendwie war ich ja drauf gefasst.

Also jetzt das neu gelernte probiert und mit dem angelesenen CHmod Befehlen schlussendlich die Testdatei so geändert, dass -rwxrwxrwx Rechte bestehen. Im Detail sieht das jetzt so aus:

-rwxrwxrwx@ 1 kristina staff 122022 20 Feb 17:59 Ohne Titel.numbers

0: user:Sebastian allow read,write,append,readattr,writeattr,readextattr,writeextattr,readsecurity

Das letzte rwx (für everyone?) wäre aus meiner Sicht eigentlich nicht nötig gewesen, da wir ja beide "Staff" sind, aber erstmal reingekloppt für den Maximalversuch. Nun müsste doch wirklich jeder was reinschreiben und speichern dürfen.

Trommelwirbel...Nein natürlich nicht

Mal abgesehen, davon dass das Beschäftigen mit dem Terminal gerade schon Spaß gemacht hat, ist es zum verrückt werden. Mal abgesehen davon, dass es immer noch nicht funktioniert --> das muss man grundsätzlich immer so machen, wenn zwei Benutzer in einer Datei arbeiten wollen? Dann ist Terminal zwangsläufig nötig?

 

[Andi]

Das Terminal ist nicht zwangsläufig nötig. Gibt bestimmt GUI Tools die das auch können bzw. bei der Serverversion von macOS kann man es per GUI einstellen. Ich rate aber trotzdem zum Terminal. Im Recovery Modus hast Du nur das Terminal (könnte man wohl hinbiegen wenn der Platz ausreicht) und im Single-User-Mode hast Du keine GUI. Bei einem Desktop Rechner könnte man ein externes Bootmedium bereithalten. Bei einem Notebook hast Du das Bootmedium genau dann nicht dabei wenn Du es brauchst! Glaube einem alten Hasen. Das Terminal ist erste Wahl. Sehr mächtig! Mach es also zu Deinem Freund.
Früher gab es noch die Briefkästen. Ein Ordner im anderen Account. Du konntest eine Datei reinlegen aber den Ordner nicht öffnen. Du machst wohl einen Logik Fehler und ich habe es nicht gut erklärt. Du erzeugst die Datei in Deinem Account. Legst sie in Geteilt. Deine Frau nimmt sie aus Geteilt in ihren Account bearbeitet und legt sie zurück in Geteilt. Du nimmst sie in Deinen Account und das Spiel geht von vorn los. So sollte es jetzt nach meiner Logik gehen. Apple kann aber eine ganz andere Logik haben.
Das ist jetzt nicht praktisch und willst Du nicht. Du brauchst eine ACL auf dem Ordner Geteilt die der Gruppe staff (hast Du richtig erkannt) die gewünschten Rechte an die Dateien vererbt. Das reicht aber (glaube ich) noch nicht. Du erzeugst eine Datei. Als Eigentümer darfst Du rw. staff nur r. Du gibst staff rw und legst die Datei in Geteilt. Wenn Deine Frau eine Datei anlegt genauso. Vergisst sie es staff rw zu geben ist das nicht schlimm. Du bist Admin Gruppe wheel Du kannst das ändern. Jetzt muss!!! es aber gehen.

Beim Dateien Ping-Pong müsste der Eigentümer wechseln falls es funktioniert.

Bei staff rw bin ich nicht sicher ob die ACL überstimmt.

Wäre lieb das zu testen. Ich habe nur ein iPhone.

 

[iTob]

Mal so als Nebengedanke: wenn es nur Numbers-, Pages-Datein und Co. sind, würde dann nicht auch das Teilen über die Cloud-Funktion helfen? Ich nutze das zumindest für Notizen.app mit meinem Mann und das läuft ganz prima.

 

[Andi]

Kann man machen. Hängt von den Daten ab.
Die cloud kann gestört sein. Dann kommst Du nicht ran. Schlimmer und Apple kocht auch nur mit Wasser ist ein Leck und ein Anderer hat Deine Daten.

 

[Andi]

@gRafus Mir fällt jetzt noch was ein zu dem Thema. Ich habe von Briefkästen gefaselt weil mit dem Wegfall dieser auch das Verhalten von Für alle Benutzer geändert wurde vielleicht wurde der da auch zu Geteilt. Ich kann mich nur leider nicht mehr erinnern was da genau war und bei welcher Version. Apple ändert gerne und oft. Das will ich nicht verschweigen

Zu den Gruppen. Ob die ACL überstimmt oder nicht. Die vorgefertigten Gruppen verhalten sich anders als selbst erzeugte. Eventuell ist es eleganter eine Gruppe family anzulegen und euch beide darin aufzunehmen.

Warum liefert Apple keine GUI dafür? Sie können noch den Server verkaufen. Entwickler können mit solchen Tools paar Kröten verdienen.

Warum rät der Andi zum Terminal? Alle zusätzlichen Tools können Einfalltore für Schadsoftware sein. Schwabe ist er auch. Was nix kostet ist zu bevorzugen!

Edit: Falschen User markiert.

 

[lisanet]

Das Ganze geht auch einfacher, ohne ACL und ohne im Terminal rum zu fummeln. Mit 3 Schritten.

a) lege erst mal eine Gruppe an, in der alle User drin sind, die die Dateien bearbeiten können sollen.

Dazu geht der Admin (das bist hoffentlich du) in Systemeinstellungen -> Benutzer & Gruppen -> öffnest das Schloss -> klicke unten links auf das + -> Neuer Account: "Gruppe" auswählen und einen Gruppennamen vergeben. (Das System lässt nicht zu bereits vorhandene Gruppen, wie z.B. staff, erneut zu vergeben.

Dann kannst du die User anklicken, die in dieser Gruppe sein sollen. Damit die Gruppe bei den jeweiligen Usern intern vermerkt wird, müssen sich alle User einmal abmelden und wieder anmelden. Alternativ kannst du auch einfach den Rechner neu starten.

b) du brauchst einen Ordner auf den alle zugreifen können. Der Ordner "Benutzer - Geteilt" geht leider nicht! (warum, dazu morgen separat mehr Infos)

Am einfachsten geht es indem du einen beliebigen Ordner freigibst -> Systemeinstellungen -> Freigaben -> Dateifreigaben und wählst einen Ordner aus, z.B. "Öffentlich". Diesem Ordner fügst du im rechten unteren Fenster die gerade erstellte Gruppe hinzu und setzt die Rechte auf lesen und schreiben.

c) nun erzeugst du eine Datei in diesem freigegebenen Ordner oder kopierst eine vorhandene hinein und änderst die Zugriffsrechte dieser Datei

Und zwar mit -> Datei markieren -> CMD + i -> Schloss unten öffnen -> + anklicken und die Gruppe auswählen -> Zugriffsrechte für diese Gruppe auf lesen und schreiben ändern.

d) Fertig.

Nun können die Mitglieder der Gruppe auf die Datei zugreifen, sie ändern, etc. und auch neue Dateien in dem freigegebenen Ordner anlegen.

Sollen neu angelegte Dateien wieder von allen Mitgliedern der Gruppe bearbeiten werden können, muss irgendein User halt die eingerichtete Gruppe zur Datei hinzufügen mit -> Datei markieren -> CMD + i -> usw. Und natürlich die Zugriffsrechte auf lesen + schreiben für diese Gruppe ändern.

 

[Andi]

@lisanet Das ist eine KISS Lösung. Die hat halt auch Nachteile.

Ich bin in ein paar Applefallen getappt. Das gestehe ich auch so ein.

ACL ist die elegantere Lösung. Da bleibe ich dabei. Da ging‘s ursprünglich auch mit drum.

Ich bin gespannt über Deine Erklärung zu Geteilt.

 

[lisanet]

@lisanet Das ist eine KISS Lösung. Die hat halt auch Nachteile.

Naja, das ist eigentlich das grundsätzliche Vorgehen bei allen Arten von gemeinsamen Zugriffen: gemeinsamer Ordner ob nun lokal oder im LAN, gemeinsame Gruppe für Ordner und Dateien, Lese-und Schreibrechte für Verzeichnis und Dateien. Genau dafür sind ja die Unix-Permissions da.

Und klar ist aber auch, das ACL weitere, feiner granulierte Rechtevergabe ermöglichen. Notwendig sind die aber für ein derartiges Anwendungsszenario, wie hier angefragt, definitiv nicht.

Welche Nachteile siehst du bei dem beschriebenen Vorgehen?

 

[tocotronaut]

Die von Apple vorgesehen Lösung wäre vermutlich die dateien oder den Ordner in der iCloud Freizugeben.

Da greift dann auch die Benutzerverwaltung der Cloud.


*komplette Ordnerfreigabe kommt vermutlich mit dem nächsten Update.

 

[lisanet]

@lisanet Ich bin gespannt über Deine Erklärung zu Geteilt.

Okay, hier die Erläuterung. Die ist aber nicht als Anleitung zum Abtippen gedacht.

Die Unix-Perms von /Users/Shared haben das sticky bit auf "t" gesetzt. Das sieht man, wenn im Terminal in /Users mal "ls -l" eingibt. Das sticky bit steht ganz rechts in den Permissions.

Das Stick Bit t bewirkt nun bei Verzeichnissen, dass nur der Eigentümer der Datei, diese Löschen / Umbennen kann. Der Eigentümer ist erst mal der, den man bei "ls -l" sieht.

Daher geht ein einfaches Kopieren einer Datei nach /Users/Shared eben nicht soweit, dass andere User diese Datei ändern können.

Apple beschreibt das hier
https://support.apple.com/de-de/guide/mac-help/mchlp1122/mac

Wenn du nun mit ACL / Info-Dialog einen weiteren User hinzufügst und ihm Lese/Schreibrechte gibst, tritt, so wie ich das sehe, folgendes ein. (Dafür habe ich keinen Support-Artikel oder andere Quelle gefunden. Es ist IMO aber so zwingend logisch)

Da APFS mit copy-on-write arbeitet, wird die Datei nicht in-place geändert, was ja die ACL grundsätzlich erlauben würden, sondern die Datei wird neu geschrieben und gelöscht. Und das Löschen soll durch das Stick Bit verhindert werden und ist nur dem Eigentümer möglich.

Es sieht so aus, dass macOS diesen Widerspruch so löst, dass es den Eigentümer der Unix-Perms so ändert, dass nur noch derjenige drin ist, der die Datei gerade speichert.

Wenn nun aber User A die Datei erstellt und User B via ACL berechtigt hat, steht erst mal A in den Unix-Perms. Wenn anschließend B die Datei ändert und speichert, darf er das wegen den ACL, wird aber wegen des Sticky Bit auch in die Unix-Perms als Eigentümer eingetragen. Ergo: er erscheint im Info-Dialog zweimal, einmal wegen der Unix-Perms, einmal wegen den ACL.

Das Dumme ist nun, das jetzt A weder in den Perms noch in den ACL auftaucht und somit die Datei nicht mehr ändern kann.

Ich kann zwar den Gedanken des Sticky bit nachvollziehen, halte persönlich aber diese Entscheidung bei diesem Ordner für nicht sinnvoll.

Es gäbe nun 2 Lösungsansätze:

1) Der von mir dargestellte Weg. Der ist das grundsätzliche Vorgehen für das es die Unix-Perms mit ihren Gruppenrechten gibt. Daher kann ich nur empfehlen, das so zu machen.

2) Löschen des Stick Bit.
Wirklich einen Vorteil bringt das nicht unbedingt. Man muss nach wie vor, sicherstellen, dass die Datei via ACL alle User aufgeführt hat. Man "spart" sich lediglich die Einrichtung und Zuweisung der Gruppe.

Als Risiko kauft man sich ein, dass nun Dateien von allen Usern mit Schreibzugriff auf /Users/Shared gelöscht werden können, auch wenn diese nicht Eigentümer sind. Das Löschen von Dateien wird nämlich durch die Schreibrechte des Ordners erlaubt. Und bei /Users/Shared sind das halt alle User. Das ist ebenso bei 1) der Fall.

Was man nun macht bleibt jedem selbst überlassen. Wenn man aber zur zweiten Lösung tendiert, sollte man sich auch noch nach einiger Zeit dran erinnern, wie Unix-Perms und ACL funktionieren. Sonst kommt schnell wieder der Verdacht eines Bugs auf, da die Apple-Supportseite ja explizit erwähnt, dass Dateien nur vom Eigentümer gelöscht werden können.

Edit: Bei 1) können nur die Gruppenmitglieder die Dateien löschen, nicht alle User.

 

[Andi]

Welche Nachteile siehst du bei dem beschriebenen Vorgehen?

Ich versuche das mal zu erklären.
Vorne weg. Hängt vom Zeitpunkt ab und wie man einen Nachteil betrachtet und für wen es nachteilig ist. Ist auch was theoretisch.

Beispiele! (Bitte nicht falsch verstehen)
Schnelle Hilfe ohne Terminal -> Nachteil für den TE: Er lernt nicht eine ACL anzulegen. -> Nachteil für den TE und seiner Frau: Beide können die Datei verschieben. -> Weitere Nachteile können folgen...
Da spreche ich aus Erfahrung als Admin.
Wie kreativ manche User bei der Dateibenennung und Verschiebung sein können kann man fast nicht glauben.
Hinzu kommt in dieser Datei ist ein ungefährer Inhalt.
Da hilft auch kein Backup.
Ein Nachteil für mich (wenn ich das noch erwähnen darf) hängt vom TE ab, könnte sein:
Danke lisanet und verschwindet -> Ich bleibe dumm.

Du hast ja angekündigt den Geteilt Ordner zu erklären darum ist das nicht schlimm.

Nachteilig könnte das noch für andere und zukünftige User sein. Ich denke halt anders...

Hast Du mich verstanden?

 

[Andi]

Vielen Dank @lisanet und großes Kompliment!
Ich frage mich nur gerade wie ich in den Film gekommen bin die Briefkästen wären verschwunden.

Das Argument mit der Erinnerung finde ich gut! Mein Tipp wäre das in der Kommentarfunktion zu hinterlegen.

 

[gRafus]

Vielen Dank für die rege Beteiligung und die weiteren Vorschläge für unseren einfachen Anwendungsfall. An die iCloud Lösung hatte ich auch schon gedacht, aber ich wollte unbedingt verstehen, wie es denn (schlank) ohne funktionieren soll.

Daher danke an @lisanet und @Andi! Ich werde es dann mal mit einer neuen Benutzergruppe angehen, wenn die sich dann anders verhält. Da kommt man ja als Laie auch nie im Leben drauf, dass die Standardgruppe dafür nachteilig ist... Ist in meinen Augen immer noch etwas merkwürdig, aber auf jeden Fall schon mal einleuchtender als wenn man als Standarduser "Terminal lernen muss".

Trotzdem finde ich es gut!, wie das Thema verlaufen ist. So konnte ich jetzt die Datei, um die es mir initial ging, sogar im ursprünglichen Ordner über Andis Tips mit dem Terminal soweit "reparieren", dass es jetzt zu gehen scheint Hat mich definitiv nicht dümmer gemacht!

Habt ein schönes Wochenende!

*Edit* bin eben doch schon dazu gekommen, dass mit der neuen Gruppen zu testen und das funktioniert erste Sahne. Ich war etwas erstaunt, was sich alles unter Systemeinstellungen --> Freigaben versteckt, ich hatte da anscheinend zu letzt unter Sierra!? reingeschaut und das hat sich ja enorm gebessert!