Forum>Software>Datei-Rechte auf freigegebenem Ordner

Datei-Rechte auf freigegebenem Ordner

TimSK
TimSK10.09.1914:39
Ich habe einen Macmini auf dem der Ordner Files für den "nur teilen"-User Daten freigegeben ist.

Wenn nun per Netzwerk Dateien dort abgelegt werden, kann ich sie lokal (auch als Admin) nicht öffnen, da mir die Rechte fehlen. Besitzer ist der User Daten. Was muss ich anders machen? Rechte setzen ist keine Option, da das bei neuen Dateien wieder so ist.
0

Kommentare

maculi
maculi10.09.1914:50
Zunächst einmal muss der Ordner schon die richtigen Rechte haben. Aber dann muss er sie auch richtig vererben. Hast du dir für den Ordner mal die Infos anzeigen lassen, bist dann unter "Teilen & Zugriffsrechte" aufs Zahnrad gegangen und hast auf "auf alle Unterobjekte anwenden" geklickt?
0
TimSK
TimSK10.09.1914:54
Ja, das meinte ich mit Rechte Setzen. Bei einer neuen Datei von Extern hat diese wieder nur den Besitzer Daten
0
HumpelDumpel
HumpelDumpel10.09.1914:57
Wenn ich dich richtig verstehe, willst du über den Besitzer "Daten" Daten teilen.
Warum benutzt du dann nicht dessen Ordner "Öffentlich"?
-1
TimSK
TimSK10.09.1915:15
Ein "nur-Teilen" user hat keinen öffentlichen Ordner. Der ist nur zum remote Anmelden. Kein lokales Anmelden möglich.
Es geht darum einen Ordner auf der HD gemeinsam zu benutzen. Nur lokal gibts das Rechte-Problem.
0
HumpelDumpel
HumpelDumpel10.09.1916:12
Dann nimm doch einen normalen User und dessen öffentlichen Ordner.
Oder du musst dich mit ACLs beschäftigen
-1
rmayergfx
rmayergfx10.09.1916:58
Welches macOS läuft auf dem MacMini ? Warum nicht einfach einen x-beliebigen Ordner nehmen, diesen mit einer passenden Beschreibung versehen und einfach im Netzwerk mit den entsprechenden Einstellungen teilen ? Das kann jeder User mit Admin Rechten einrichten und man spart sich den "Nur Freigabe (Benutzerstatus)"
„Der Computer soll die Arbeit des Menschen erleichtern, nicht umgekehrt !“
0
Weia
Weia10.09.1920:10
TimSK
Ich habe einen Macmini auf dem der Ordner Files für den "nur teilen"-User Daten freigegeben ist.
Und wo genau liegt der Ordner?

Und welche macOS-Version benutzt Du?

(Warum muss man eigentlich diese Basis-Infos Leuten, die Hilfe brauchen, immer erst aus der Nase ziehen?)
Wenn nun per Netzwerk Dateien dort abgelegt werden, kann ich sie lokal (auch als Admin) nicht öffnen, da mir die Rechte fehlen.
Meinst Du wirklich nicht öffnen? Oder meinst Du eigentlich nicht sichern? Standardmäßig sichert macOS neue Dateien mit Leserechten für alle und Schreibrechten nur für den Besitzer, insofern wäre es höchst ungewöhnlich, wenn Du die Datei nicht einmal öffnen = lesen kannst.
Besitzer ist der User Daten.
Logisch. Er hat sie ja abgelegt.
Was muss ich anders machen? Rechte setzen ist keine Option,
Du bist lustig. Rechte setzen ist die einzige Option, denn das ist schließlich lediglich ein anderer Ausdruck für genau das, was Du willst: spezifizieren, wer denn was machen darf.

Beantworte bitte erstmal obige 3 Fragen, dann können wir weitersehen.
+2
HumpelDumpel
HumpelDumpel10.09.1920:57
Weia
Meinst Du wirklich nicht öffnen? Oder meinst Du eigentlich nicht sichern? Standardmäßig sichert macOS neue Dateien mit Leserechten für alle und Schreibrechten nur für den Besitzer, insofern wäre es höchst ungewöhnlich, wenn Du die Datei nicht einmal öffnen = lesen kannst.
Das Problem beginnt, wenn da jemand einen neuen Ordner anlegt, der gehört dann Daten, weil er mangels ACLs nicht automatisch die Rechte des übergeordneten Ordners übernimmt.
Mit posix ist das nicht zu lösen.
0
Weia
Weia10.09.1921:06
HumpelDumpel
Weia
Meinst Du wirklich nicht öffnen? Oder meinst Du eigentlich nicht sichern? Standardmäßig sichert macOS neue Dateien mit Leserechten für alle und Schreibrechten nur für den Besitzer, insofern wäre es höchst ungewöhnlich, wenn Du die Datei nicht einmal öffnen = lesen kannst.
Das Problem beginnt, wenn da jemand einen neuen Ordner anlegt, der gehört dann Daten
Na und? Auch Ordner sind in der Standardeinstellung von allen lesbar.
weil er mangels ACLs nicht automatisch die Rechte des übergeordneten Ordners übernimmt.
Mit posix ist das nicht zu lösen.
Doch ist es. Man braucht allerdings einen Dämon, der sozusagen die umask ersetzt und alles innerhalb des (Basis-)Ordners automatisch auf Gruppenschreibbarkeit umstellt.

Mit ACLs hingegen ist das Problem nicht zu lösen (oder war es zumindest bis Sierra nicht, ab da habe ich das nicht mehr getestet), weil ACLs aufgrund eines macOS-Bugs nicht funktionieren, wenn die Datei übers Netzwerk abgelegt wird.

Aber soweit sind wir noch nicht. Da muss TimSK erstmal meine 3 Fragen beantworten.
0
HumpelDumpel
HumpelDumpel10.09.1921:29
Weia
HumpelDumpel
Das Problem beginnt, wenn da jemand einen neuen Ordner anlegt, der gehört dann Daten
Na und? Auch Ordner sind in der Standardeinstellung von allen lesbar.
Was hat das (nur lesen) bitte mit File sharing zu tun? Das funktioniert so nicht...

PS. Ich kann mich noch genau erinnern, wie wir unter X.10 Server ganz am Anfang im Minutentakt die Benutzerrechte korrigiert haben...
+1
Weia
Weia10.09.1921:40
HumpelDumpel
Was hat das (nur lesen) bitte mit File sharing zu tun? Das funktioniert so nicht...
Wenn Daten einen neuen Ordner anlegt, gehört der Daten, richtig. Und nur Daten kann in der Standardeinstellung dann neue Dateien dorthinein sichern. Das ändert aber nichts daran, dass alle Nutzer diese Dateien von Daten müssten lesen = öffnen können. TimSK behauptet hingegen, nicht mal das ginge. Und das kann ich mir nicht vorstellen, das war an dieser Stelle mein ganzer Punkt.

Aber ich habe keine Lust, mir schon wieder die Finger fusselig zu schreiben wegen eines Nutzers, der eine unklare Frage stellt und sich dann nicht mehr meldet, um sie auf Nachfrage zu präzisieren. Solange er das nicht tut, werde ich jetzt nicht weiter in diesem Thread herumspekulieren.
0
TimSK
TimSK11.09.1908:41
Und wo genau liegt der Ordner?
Der Ordner liegt direkt auf der Platte, prallel zum User Verzeichnis.
Und welche macOS-Version benutzt Du?
Mojave.
Meinst Du wirklich nicht öffnen? Oder meinst Du eigentlich nicht sichern? Standardmäßig sichert macOS neue Dateien mit Leserechten für alle und Schreibrechten nur für den Besitzer, insofern wäre es höchst ungewöhnlich, wenn Du die Datei nicht einmal öffnen = lesen kannst.
Ja. Der angemeldete lokale(!) User ist Admin. Der kann verschieben, löschen, aber nicht öffnen. Alle per Daten angemeldete User können öffnen.

Werde aber wohl auf macOS Server Mojave wechslen müssen. Dann hab ich das Rechte Problem nicht mehr.
0
Marcel Bresink11.09.1909:04
TimSK
Ja. Der angemeldete lokale(!) User ist Admin. Der kann verschieben, löschen, aber nicht öffnen. Alle per Daten angemeldete User können öffnen.

Du musst nur die Rechte für den obersten Ordner über eine Zugriffssteuerungsliste (ACL) so einstellen, wie Du es haben willst. Bei den Zugriffssteuerungseinträgen müssen die Optionen für Vererbung eingeschaltet werden. Dazu musst Du die macOS-Befehlszeile verwenden oder Programme, die ACLs verwalten können, nicht den Finder.
TimSK
Werde aber wohl auf macOS Server Mojave wechslen müssen. Dann hab ich das Rechte Problem nicht mehr.

Nein. macOS Server enthält schon seit mehreren Generationen keine Funktionen mehr, die sich mit dem Einrichten von File Servern oder dem Einstellen von Rechten beschäftigen. Es sind nur noch die 3 Features Verzeichnisdienst-Server (Apple Open Directory), Mobile Device Management (Apple Profile Manager) und Xsan enthalten.
Weia
Mit ACLs hingegen ist das Problem nicht zu lösen (oder war es zumindest bis Sierra nicht, ab da habe ich das nicht mehr getestet), weil ACLs aufgrund eines macOS-Bugs nicht funktionieren, wenn die Datei übers Netzwerk abgelegt wird.

Das war bei bestimmten File-Server-Protokollen ein beabsichtigtes Feature. Hier hat der File Server selbst in bestimmten Fällen in die Rechtevergabe eingegriffen. Dieses Design wurde ab macOS 10.14 aufgegeben. Es besteht grundsätzlich zwischen Netzzugriff und lokalem Zugriff kein Unterschied mehr. Im Detail hängt es davon ab, welche Features die jeweils benutzte Version des File-Server-Protokolls auf Client und Server unterstützt.
+2
Weia
Weia11.09.1910:09
TimSK
Ja. Der angemeldete lokale(!) User ist Admin. Der kann verschieben, löschen, aber nicht öffnen.
Das ist, wie gesagt, höchst seltsam.

Was passiert denn, wenn Admin einen Doppelklick auf eine der fraglichen Dateien im Finder macht? Kommt dann ein Warnfenster à la Du hast nicht die erforderlichen Zugriffsrechte, um diese Datei zu öffnen hoch, oder was passiert genau?

Kannst Du mal im Terminal
ls -laTOFGH@eb /DeinOrdner
eingeben und das Ergebnis posten? (DeinOrdner musst Du natürlich durch den tatsächlichen Ordnernamen ersetzen, und wenn die Namen der gelisteten Ordner oder Dateien irgendwie verräterisch sind, kannst Du sie ja durch Pseudonamen ersetzen. Wenn da viele Dateien sind, kannst Du auch die meisten löschen, es sollten nur ein paar bleiben, bei denen das Problem auftritt.
Werde aber wohl auf macOS Server Mojave wechslen müssen. Dann hab ich das Rechte Problem nicht mehr.
Wie kommst Du zu der Annahme? Das würde genau gar nichts ändern.
0
Weia
Weia11.09.1910:16
Marcel Bresink
Du musst nur die Rechte für den obersten Ordner über eine Zugriffssteuerungsliste (ACL) so einstellen, wie Du es haben willst.
Ich verstehe eben nur nicht, wieso ohne ACLs nicht mal das Lesen geht …
Bei den Zugriffssteuerungseinträgen müssen die Optionen für Vererbung eingeschaltet werden. Dazu musst Du die macOS-Befehlszeile verwenden oder Programme, die ACLs verwalten können, nicht den Finder.
<Shameless Plug/> Das Programm der Wahl hierfür ist ggf. TinkerTool System von Marcel.
Weia
Mit ACLs hingegen ist das Problem nicht zu lösen (oder war es zumindest bis Sierra nicht, ab da habe ich das nicht mehr getestet), weil ACLs aufgrund eines macOS-Bugs nicht funktionieren, wenn die Datei übers Netzwerk abgelegt wird.
Das war bei bestimmten File-Server-Protokollen ein beabsichtigtes Feature. Hier hat der File Server selbst in bestimmten Fällen in die Rechtevergabe eingegriffen. Dieses Design wurde ab macOS 10.14 aufgegeben. Es besteht grundsätzlich zwischen Netzzugriff und lokalem Zugriff kein Unterschied mehr.
Ah, wieder mal Feature, nicht Bug! Wenn das mit Mojave weg ist, das wäre ja eine gute Nachricht – jedenfalls für eine Freundin von mir, die damit so in ihrer Firma zu kämpfen hatte, dass ich ihr am Ende einen Dämon schrieb, der die Rechte on the fly korrigierte. Werde ich bald sehen, da ich nächster Zeit ihre Macs auf Mojave updaten werde.
0
TimSK
TimSK11.09.1910:53
Sehr spannende Antworten!

Hier mein Ergebnis:

Last login: Wed Sep 11 01:28:31 on console
Mac-mini-Server:~ admin$ ls -laTOFGH@eb /Daten
total 32
drwxr-xr-x+  5 admin  wheel  -       160 10 Sep 06:00:59 2019 ./
 0: user:arzt allow list,add_file,search,add_subdirectory,delete_child,readattr, writeattr,readextattr,writeextattr,readsecurity
 1: user:praxis allow list,add_file,search,add_subdirectory,delete_child,readattr, writeattr,readextattr,writeextattr,readsecurity
 2: user:daten allow list,add_file,search,add_subdirectory,delete_child,readattr, writeattr,readextattr,writeextattr,readsecurity
drwxr-xr-x  29 root   wheel  sunlnk  928 11 Sep 01:42:29 2019 ../
-rw-r--r--@  1 admin  wheel  -      6148 10 Sep 07:06:14 2019 .DS_Store
    com.apple.FinderInfo      32 
 0: 3E1596AD-6767-45AF-9F59-95995B730DCA allow read,write,append,readattr,writeattr,readextattr,writeextatt r,readsecurity
 1: user:praxis allow read,write,append,readattr,writeattr,readextattr,writeextatt r,readsecurity
 2: user:daten allow read,write,append,readattr,writeattr,readextattr,writeextatt r,readsecurity
drwxr-xr-x+  4 daten  wheel  -       128 10 Sep 07:06:23 2019 Test/
 0: 846AB2C9-0E35-4857-BB5D-1F7DAB707642 allow list,add_file,search,add_subdirectory,delete_child,readattr, writeattr,readextattr,writeextattr,readsecurity
-rw-r--r--@  1 admin  wheel  -      8166 10 Sep 02:35:00 2019 Test.odt
    com.apple.lastuseddate#PS      16 
    com.apple.metadata:_kMDItemUserTags      42 
 0: 3E1596AD-6767-45AF-9F59-95995B730DCA allow read,write,append,readattr,writeattr,readextattr,writeextatt r,readsecurity
 1: user:praxis allow read,write,append,readattr,writeattr,readextattr,writeextatt r,readsecurity
 2: user:daten allow read,write,append,readattr,writeattr,readextattr,writeextatt r,readsecurity
Mac-mini-Server:~ admin$ 
Weia
Was passiert denn, wenn Admin einen Doppelklick auf eine der fraglichen Dateien im Finder macht? Kommt dann ein Warnfenster à la Du hast nicht die erforderlichen Zugriffsrechte, um diese Datei zu öffnen?
Genau das kommt!

Werde jetzt mal die Vererbung mit TinkerTool System versuchen.
0
TimSK
TimSK11.09.1911:15
So richtig will das nicht.
Aktuelle Rechte:

Neu erstellte Datei:

Der Admin darf nicht lesen.
0
Marcel Bresink11.09.1911:30
TimSK
Der Admin darf nicht lesen.

Natürlich nicht. Du hast für den Admin keinen Zugriffssteuerungseintrag angelegt, also kann sich für ihn kein Recht vererben.

Der Zugriffssteuerungseintrag für "daten" ist dagegen überflüssig. Diesem Benutzer gehören ja sowieso die Dateien, also hat er automatisch die entsprechenden Rechte.
0
Marcel Bresink11.09.1911:39
Außerdem ist ungünstig:

- Du vergibst Rechte an Einzelbenutzer, statt an Gruppen. Die Nutzung von Gruppen würde die Rechtevergabe einfacher machen.
- Gruppeneigentümer dieses Ordners ist das Betriebssystem, kein Benutzer. Deshalb wird auch der Admin standardmäßig ausgesperrt, solange keine ACLs für ihn angelegt werden.
- Das Ordner wurde an oberster Stelle des System-Volumes angelegt. Das wird in Zukunft verboten sein. Falls Du später vorhast, auf Nachfolger von Mojave zu aktualisieren, wird der Ordner dort automatisch entfernt, bzw. verschoben werden.
0
TimSK
TimSK11.09.1911:46
Also so?

Das wird aber trotzdem nicht auf eine neue Datei vererbt?
0
TimSK
TimSK11.09.1911:54
So! Habe den Ordner unterhalb des Users Praxis gelegt und der Gruppe Filesharing alle rechte gegeben. Jetzt gehts! Supercool! Danke!
0
Philantrop
Philantrop11.09.1912:10
OT: Ich finde es übrigens immer sehr aufschlussreich anzugeben warum und in welchem Kontext ein Problem gelöst werden soll - anstatt direkt nach der Lösung zu fragen. Oft ergibt sich hieraus der ein oder andere Tipp, wie man die gewünschte Funktion auf einen anderen Weg bereitstellen kann, an die man selbst noch nicht gedacht hat.

So finde ich den Tipp mit den Gruppenregeln übrigens allgemein sehr wichtig! Lieber Gruppenregeln als Userregeln.
+2
Weia
Weia11.09.1913:13
OK, es waren also bereits ACLs im Spiel, die die „normalen“ Rechte überschrieben haben, nach denen jeder zumindest hätte lesen können.

Na, scheint ja jetzt alles gelöst.

Dass man für solche Zwecke auf Gruppen zurückgreifen sollte, deren Rechte man dann einstellt, kann ich nur dick unterstreichen. Ist viel leichter zu warten, kommt mal ein neuer Nutzer hinzu, macht man ihn einfach auch zum Mitglied dieser Gruppe, und sofort geht alles.
+2

Kommentieren

Sie müssen sich einloggen, um sich an einer Diskussion beteiligen zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen