Guten Abend

Wir möchten unseren Server frisch aufsetzen und hierfür hätte ich noch gerne ein paar Tipps.
Der Server ist ein Mac mini, läuft in einer reinen Mac-Umgebung mit ca. 15 Benutzer. Neben ein paar Diensten ist die Dateifreigabe essentiell.
Bei dieser werden drei Ordner freigegeben und es gibt auch nur zwei "Rechtegruppen". Folgende Struktur ist angedacht:
Ordner A Alle Nutzer
Ordner B Ein Teil der Nutzer
Ordner C Time Machine für alle Rechner im Netzwerk

Nun zu den Fragen:
- Wo werden die Ordner idealerweise angelegt um bei der Freigabe möglichst keine Probleme zu haben / Apple-konform zu sein?
- In er aktuellen Version (Ventura) muss jeweils ein Benutzer / eine Gruppe angelegt werden, damit Zugriff gewährt werden kann. Dies kann (meines Wissens) nur noch über die Benutzerverwaltung in der Systemsteuerung erfolgen. Ist dies korrekt oder gibt es noch eine elegantere Lösung (damit nicht alle angelegten Benutzer in der Übersicht auftauchen)? Dadurch könnten diese sich ja auch lokal am Server anmelden, was eigentlich nicht gewollt wäre...
- Ist es sinnvoller nur zwei Benutzer anzulegen (je einer pro Ordner) oder besser für jeden Nutzer einen Ordner?
- Time Machine müsste bei beiden Szenarien klappen, korrekt?

Danke für konstruktive Tipps!

Hallo,
mangels eigener Praxiserfahrung mit solchen Anforderungen hier lediglich mein mutmasslicher (sowie "opinionated") Ansatz dazu:
Sollte grundsätzlich egal sein. Hauptsache der bzw. die Ordner sind berücksichtigt in einem wie auch immer gearteten "Backup-Plan". Allerdings könnte man auch der Information folgen, wie es früher zumindest beim OSX Server gemacht wurde (siehe auch ):
Bei dir also z.B.:
Rein aus Prinzip würde ich auf Leerzeichen bei freigegebenen Ordnern grundsätzlich verzichten.
Bei 15 Benutzern insgesamt sollte die normale Benutzerverwaltung ausreichen.
Was mit "in der Übersicht auftauchen" gemeint ist, bin ich nicht sicher, aber wenn es dir darum geht, dass die Benutzer sich nicht selber lokal am Server anmelden können sollen, dann wählt man beim Anlegen der Benutzer den Typus "Nur Freigabe" aus, und nicht "Standard". Damit wird dann genau das unterbunden und solche Benutzer können sich am Server nicht lokal anmelden.
Grundsätzlich würde ich jedem Benutzer immer ein eigenes Nutzer-Konto vergeben. Ausser dir ist egal, dass es nicht nachvollziehbar ist, wer was auf dem Server macht (welche Möglichkeiten des Loggings/Trackings geben könnte wäre aber out of scope).
Die geteilten Ordner würde ich Gruppen zuordnen und die Benutzer wiederum den Gruppen. Somit braucht man Rechte nur auf Gruppenbasis zu setzen.
Beispiel:
Ordner:
Gruppen (Annahme: Gruppenname und Ordnername sind identisch; müssten es aber nicht zwangsläufig sein):
Benutzer (Admin-Konten werden nicht explizit erwähnt, da diese implizit vorausgesetzt werden):
Zuordnung Gruppe und Benutzer:
Da GruppeOrdnerA alle Benutzer umfasst, kann man dann anstelle der einzelnen Benutzerzuweisungen auch dieselbe Gruppe wiederverwenden und der TimeMachine Gruppe zuweisen. Auf diese 3. Gruppe könnte evtl. auch verzichtet werden und gleich GruppeOrdnerA dem TimeMachine Ordner zugewiesen werden.
Ich weiss nicht was mit "beiden Szenarien" gemeint ist.
Aber grundsätzlich würdest du auf dem Ordner, der für TimeMachine als geteilter Ordner angedacht ist, in der Systemeinstellung zur Freigabe die "erweiterten Optionen" aufrufen und dort "Als Ziel eines Time Machine-Backups teilen" auswählen, welches offensichtlich diesen Ordner nochmal spezifisch für das System als TM Volume kennzeichnet aus Sicht der zukünftigen Benutzer.

Nachtrag zum geteilten TimeMachine Ordner:
mein Verständnis nach dem Lesen folgender Infos:


ist, dass man einen "TM Ordner" eigentlich nicht unbedingt einer Gruppe zuordnen müsste. Wenn das nicht gemacht würde, stünde der "TM Ordner" generell jedem Mac Benutzer im Netzwerk zur Verfügung.
Wenn eine Gruppe dafür angelegt wäre, gäbe es halt einen Schritt mehr zu tun mit der Benutzer-Authentifizierung wie für jeden üblichen geteilten Ordner auch. Sollten sich im Netzwerk ausschliesslich immer nur die gleichen 15 Benutzer bewegen, kann man sich das also ersparen. Wenn sich aber wie auch immer geartete "weitere Benutzer" ausserhalb des "Kreises der 15" im Netzwerk zu irgendeinem Zeitpunkt tummeln könnten, wäre die Zuweisung einer dedizierten TM Gruppe vermutlich sinnvoll.

Nachtrag: Alternativen zur (GUI) Benutzerverwaltung
bzgl. alternativen Möglichkeiten zur Benutzererstellung bin ich auf folgende (Bordmittel- als auch 3rd Party-) Tools gestossen:

• dscl - Directory Service command line utility
• sysadminctl
• mkuser

sysadminctl scheint das neuere "Bordmittel" zu sein gegenüber dscl. Mit beiden lassen sich Benutzer anlegen. Allerdings ist das Anlegen des "sharing-only" Benutzers (wie man es mit der GUI vornehmen kann ) auf den ersten Blick mit sysadminctl nicht möglich und mit dscl habe ich diesen Tipp gefunden:

Neben diesen Werkzeugen bin ich noch über mkuser gestolpert, welches explizit eine Option für "sharing-only-account" anbietet.

Disclaimer: sämtliche Infos hier sind auf die Schnelle zusammengesucht und nicht eigenhändig getestet. Bei Einsatz - insbesondere dem Ansatz von Stack Overflow als auch dem mkuser Tool, bitte vorher überprüfen.

Ganz herzlichen Dank für die ausführlichen Informationen!
Dies hat mir doch sehr geholfen und werde es entsprechend durchgehen.

Dort lässt sich doch einstellen, ob der Benutzer sich lokal anmelden darf oder nur über Netzwerk.

Es gibt allerdings noch einen andere Pferdefuß: über die Oberfläche lassen sich keine ACLs einstellen und pflegen. Bedeutet Ordner A ist für alle freigegeben, Benutzer A legt dort eine neue Datei ab, die Benutzer B aber nicht bearbeiten darf, wenn Benutzer A das nicht von Hand eingestellt hat.
Um das zu lösen verwenden wir TinkerTool System.

Super, danke. TinkerTool System wird in jeder Version erworben.

Sorry, noch einmal eine Frage dazu:
Freigabe
Soll der Admin / lokaler Benutzer auf dem Server auch Mitglied von jeder Gruppe sein oder besser nicht? Oder hat dies überhaupt keinen Einfluss?

Pfad
Würdet ihr den "Groups" Ordner innerhalb des Admin erstellen (Festplatte/Users/Admin/Groups) oder eine Hierarchie höher (Festplatte/Groups) oder unter (Festplatte/Users/Shared/Groups)?

Danke für die Erläuterungen und Hilfen!

zu 1:
Normalerweise arbeitet der Admin ja überhaupt nicht mit den freigegebenen Daten und soll es auch nicht. Er sollte deshalb nicht Mitglied selbst angelegter Gruppen sein. Wenn er tatsächlich in seiner Rolle als Admin Verwaltungsaufgaben ausführen soll, hat er ja das Recht, für bestimmte Vorgänge, bzw. für wenige Minuten als privilegierter Benutzer ("root") zu gelten, wodurch er sowieso alle Dateirechte übergehen darf.

zu 2:
Zunächst mal ist "Festplatte" kein gültiger Pfad. Das wurde beim Übergang vom klassischen Mac OS auf Mac OS X abgeschafft. Der Pfad des System-Volumes heißt einfach "/". Andere Volumes haben den Namen "/Volumes/Festplatte".

"/Users/Admin/Groups" darf nicht verwendet werden, da dann im Privatordner des lokalen Admin Daten liegen würden, die ihm gar nicht gehören.

"/Groups" ist schon seit Mac OS X 10.7 veraltet und seit OS X 10.11 streng verboten. Der Systemintegritätsschutz würde das gar nicht zulassen.

"/Users/Shared/Groups" ist angemessen, aber es ist die Frage, ob die Verwendung eines Groups-Ordners heutzutage noch sinnvoll ist. Das war mal ein Konzept, das Apple vor 20 Jahren für Mac OS X Server angedacht hat, was aber nie korrekt funktioniert hat. Warum nicht "/Users/Shared/Freigabe A", usw.?

Ist denn auf dem Systemdaten-Volume überhaupt genug Platz? Ansonsten stellt sich die Frage überhaupt nicht. Es müsste dann sowieso eine externe Platte (mit der Option "Eigentümer auf diesem Volume ignorieren: AUS") angeschlossen werden und die Freigaben würden unter "/Volumes/Platte/Freigabe A", usw. liegen.

@ Marcel
Herzlichen Dank, werde ich entsprechend einrichten. Wir haben uns extra einen neuen MacMini mit mehr Speicher zugelegt um die Freigabe über die interne Festplatte zu ermöglichen.

Ist das kostentechnisch denn wirklich sinnvoll? Warum holt man sich dann nicht ein 4bay oder 5bay NAS von Synology, QNAP oder eines anderen Anbieters und ist für die Zukunft besser gerüstet. TimeMachine funtkioniert dort auch und ist für jeden Client seperat einstellbar. Speicherplatz am MacMini erweitern geht ja nur über externe Anbindung. Hoffe der MacMini wurde mit 10GbE gekauft.

Ist denn ein MacMini hier nicht total unterfordert? Für etwas Daten hin und her zu kopieren benötigt man ein stabiles und schnelles Netzwerk.

Wenn ich mir ansehe was eine 8 TB Erweiterung beim MacMini kostet bekomme ich da ganz viel RAID Speicher dafür und das System ist noch schneller und zuverlässiger. Zusätzlich altert die SSD im MacMini durch die vielen Schreibzugriffe noch schneller und wenn diese defekt ist kann der ganze MacMini entsorgt werden, da alles verlötet ist. Beim RAID tausche ich einfach nur die defekte Speicherplatte (SSD oder HHD) aus und weiter geht es.

Ja, mit 10 GbE und es laufen noch einige Dienste darauf, welche auf einem MacMini in einer reinen Mac-Umgebung am einfachsten zu handhaben sind.
Zudem ist der Stromverbrauch auch ein tolles Argument (der alte MacMini mit i7 verbraucht annähernd 100 Watt mehr)!

Darf man Fragen welche Dienste das sind? macOS Server wurde ja eingestellt:

Ja, aber z.B. BIM-Server, Druckserver, etc.

@ Marcel Bresink

Danke für die Tipps.
Sind die Rechte wie folgt dann korrekt angelegt oder kann ich einzelne Einträge noch entfernen / muss diese anders anpassen:
Admin entfernt
Gruppe lesen + schreiben (angepasst via Tinkertool)
System Group lesen
Alle keine

Danke!

Das hört sich so an, als wäre das die Rechteanzeige im Finder. Der Finder darf auf gar keinen Fall zum Einstellen von Rechten verwendet, da er eine so stark vereinfachte Darstellung verwendet, dass sie irreführend oder zum Teil sogar komplett falsch ist. Du musst das Terminal (oder eben TinkerTool System, nicht TinkerTool) verwenden. Außerdem sollten alle 4 Optionen zur automatischen Vererbung von Rechten eingeschaltet werden, was im Finder überhaupt nicht geht.

Ein weiteres Missverständnis ist außerdem oft, es gäbe so etwas wie "Rechte für eine Freigabe". Die gibt es nicht. Jede Datei und jeder Ordner hat jeweils eigene Rechte-Einstellungen. Was man an der Freigabe einstellt, gilt nur für diesen einen Ordner, noch nicht einmal für dessen Inhalt. Auch darf auf keinen Fall "Vollzugriff" für irgendjemanden eingeschaltet werden, da dies das Recht erteilen würde, die ganze Rechteeinstellung wieder zerstören zu können.

Sorry, meinte eigentlich TinkerTool System und habe folgendes eingestellt:
Gruppe: Lesen, Schreiben, Vererbung (alle Untereinstellungen aktiv)
Admin: keine Rechte
Wheel: nur lesen
andere: keine Rechte

Sollte es so passen?

Herzlichen Dank

Ja, das passt besser. Da der Admin wahrscheinlich der Eigentümer des freigegebenen Ordners ist, sollte er auch die Rechte "Lesen & Schreiben" haben.

Darf ich fragen warum man das nicht über die "Bordmitteln" vom Finder machen soll?

Benutzer kann man als "nur teilen" anlegen; dies können sich nicht beim Mac anmelden
Hier kann man auch Gruppen erstellen die legio Zusammenstellungen an Benutzer enthalten können, je nach Bedarf.
Wenn man in den Einstellungen für Teilen einen Ordner frei gibt, kann man das mit rechte Maustaste als Ziel für einen TM-Backup angeben.

Funktioniert bis jetzt (bei mir) immer und zuverlässig.
Daher verstehe ich das Ganze mit Tinkertool und Terminal nicht.

Danke für die Korrektur!

@Nutzer will Netzwerkfreigaben anlegen, die von mehreren Benutzern gemeinsam schreibend genutzt werden sollen. Das ist etwas anderes, als das reine Teilen von Informationen (einer schreibt, alle anderen lesen).

Für diese Art der Nutzung reicht die Rechte-Einstellung des Finders in der Regel nicht aus, da in dem Fall Benutzer A Dateien aktualisieren können soll, die Eigentum von Benutzer B sind.

Siehe mein Kommentar vom 27.01.23 09:51: anlegen und freigeben funktioniert wunderbar mit Bordmitteln und grafischer Oberfläche. Das Problem sind neue und bearbeitete Dateien. Auch das lässt sich mit Bordmitteln regeln, wenn jeder Benutzer nach "Benutzung" die Rechte wieder für die anderen Benutzer gerade biegt, nur wer mach das schon? Abhilfe ist hier mit ACLs zu arbeiten, damit immer die Berechtigungen des übergeordneten Ordners gelten. Auch die sind mit dem "Bordmittel" Terminal möglich, nur eben nicht sehr komfortabel.

Das Problem taucht auf, wenn du auf einer Freigabe einem Ordner Rechte (lesen/schreiben) für alle Mitglieder einer Gruppe gibst. Die schreiben dann fleißig ihre Dateien dort rein. Wenn nun ein anderes Gruppenmitglied eine Datei bearbeiten will, die er nicht angelegt hat (="besitzt"), wird er feststellen, dass er keine Schreibrechte dafür hat. Dazu wäre es nötig, dass der Besitzer ihm diese Rechte auf Dateiebene gewährt. Das ist auf Systemebene möglich, macht aber zu viel Arbeit und funktioniert daher nicht.
Für das Vererben von Rechten (Ordner überträgt die Rechte auf darin enthaltene Dateien und Ordner) brauchst du nach meinem Verständnis das Tool oder vertiefte Kenntnisse im Terminal.

Gruß, svenski.

Hmm, nun habe ich alles so eingerichtet und im Grundsatz klappt alles.
Wenn ich nun jedoch eine Datei dupliziere, hat diese plötzlich folgende Rechte:
Ich: Lesen & Schreiben
Gruppe nicht aufgeführt
staff: Nur lesen (sollte so korrekt sein)
everyone: Keine Rechte (sollte so korrekt sein)

Sobald TinkerTool System die Rechte wieder fixt, klappt alles. Bis zum Anlegen eines neuen Ordner, publizieren aus ArchiCAD oder eben duplizieren / rumkopieren. Das Ganze läuft unter 13.2.1.

Habe ich hier etwas doch falsch eingerichtet?
Auf der obersten Ebene / Dateifreigabe vom Ordner wurde folgendes mit TinkerTool System eingestellt:
Gruppe: Lesen, Schreiben, Vererbung (alle Untereinstellungen aktiv)
Admin: Lesen & Schreiben
Wheel: nur lesen
andere: keine Rechte

TinkerTool System "fixt" nichts, es sorgt über die ACLs dafür, dass nichts gefixt werden muss. Daher meine Vermutung, Du hast in TinkerTool System nur die Berechtigungen für POSIX eingestellt und nicht für ACL.

Sorry, zur Erläuterung.
TinkerTool System ACL-Rechte, dann sieht es wie folgt aus:

Zugriffsteuerungsliste (ACL)
Gruppe: Lesen, Schreiben, Vererbung (alle Untereinstellungen aktiv)
POSIX
Admin: Lesen & Schreiben
Wheel: Nur lesen
Andere: Keine Rechte

Muss ich die POSIX nun löschen (geht vermutlich gar nicht, da Minus nicht verfügbar) oder muss ich diese bei ACL auch hinzufügen oder bei den "Operationen" noch etwas anderes machen als "Zugriffsrechte übertragen"?

Sorry, irgendwie ist etwas ganz einfaches doch ganz schön kompliziert

Zu TinkerTool kann ich nichts sagen, aber irgendwie riecht mir das stark nach einer Einstellung von umask :

Das hat mehr oder weniger schon mit umask zu tun, das Problem kommt aber daher, dass macOS die ACL nicht weitervererbt. Da für die Freigaben die Berechtigungen über ACL eine wesentliche Rolle spielen, würde ich nicht bei der Änderung von umask ansetzen, sondern die Vererbung der ACLs korrigieren.
TinkerTool System wäre das richtige Werkzeug dafür.

Den Zugriffstyp habe ich genau so eingestellt.
Anschliessend auf "Operationen" und "Zugriffsrechte übertragen..."

Die Benutzer, welche Zugriff haben sind in die Gruppen eingeteilt und mit "nur teilen" eingerichtet worden. Der Admin ist nicht Mitglied einer Gruppe, hat jedoch als Eigentümer (wenn ich dies richtig verstehe) Lese und Schreibrechte. Wird jedoch im TinkerTool System als POSIX angezeigt...

Habe ich da etwas falsch gemacht?

Das ist zu ungenau. Heißt das, im Programm "Finder" wird die Funktion "Duplizieren" von einem Benutzer, der direkt am Server angemeldet ist, ausgeführt?

Wenn nicht, müsste man wissen, welches Programm die Operation ausführt, welcher Benutzer das macht, ob dieser Benutzer dies lokal oder über eine Datei-Server-Verbindung hinweg ausführt, ob er Mitglied der Gruppe ist, für die die ACE eingerichtet wurde, und ob "Duplizieren" bedeutet, dass Original und Kopie auf dem gleichen Volume im gleichen Ordner sind.

Der Finder ist nicht in der Lage, die tatsächlichen Rechte darzustellen. Du musst die Rechteeinstellung der "duplizierten" Datei entweder im Terminal oder in TinkerTool System anschauen.

Manchmal passiert es beim duplizieren im Finder (rechte Maustaste) oder beim kopieren eines Dokumentes / Ordners via Finder.
Eben wieder ein Dokument entdeckt, welches falsch ist. Dieses wurde heute morgen im Finder dupliziert und umbenannt.
Gesamte Ordnerstruktur hat gemäss TinkerTool System folgende Rechte:
ACL
Gruppe A: Lesen, Schreiben, Vererbung (alle Untereinstellungen aktiv)
POSIX
Admin: Lesen & Schreiben
Wheel: Nur lesen
Andere: Keine Rechte

Ein einzelnes Dokument hat dann folgende Rechte:
ACL
Gruppe A: Lesen, Schreiben, Vererbung (alle Untereinstellungen aktiv)
POSIX
Nutzer B: Lesen & Schreiben (Ist Mitglied der Gruppe A)
Wheel: Nur lesen

Ich hatte heute aber auch das Gleiche Problem mit einem PDF. Diese im Ordner dupliziert (Freigabe Gruppe A) und danach konnte ich es selber nicht mehr öffnen. Jedoch konnte es auf den Schreibtisch gezogen werden und problemlos bearbeitet / geöffnet werden. Anschliessend mit Drag and Drop wieder in den Ordner gelegt, überschrieben und dann ging es...

Regelmässig machen uns zum Beispiel auch Dokumente zu schaffen, welche von ArchiCAD publiziert werden (auf einen smb-Pfad)...

Kann ich noch irgendwelche Angaben liefern oder eine Supportsitzung bei dir buchen?

Noch eine Präzisierung: Die Daten wurden jeweils dupliziert, bearbeitet und gespeichert. Dann kam die Meldung "Diese Datei ist beschädigt".
Anschliessend konnte sie auf den Schreibtisch gezogen werden, geöffnet / bearbeitet werden und wieder zurück gelegt werden.
Möglicherweise ist dies auch einfach ein Bug unter 13.2.1. Bis zur letzten Version von MacOS 12 hatten wir (mitten gleichen Einstellungen via Tinkertool System) nie Probleme gehabt...