Ich versuche, unseren fileserver-Dienst gegen "Apple-A", "Apple-backspace" und bestätigen zu sichern:-) Dann wäre er nämlich leer. (Wie) kann ich folgendes realisieren:

- Auf der obersten Ebene stehen Projektkordner. Diese erzeugen oder löschen soll nur ein BenutzerA dürfen.
- BenutzerA hat nicht zwingend Zugriff auf den Inhalt der Projektordner; er kann diese also evtl. nur löschen, wenn sie zuvor geleert worden sind.
- Innerhalb der Projektordner dürfen Benutzer der GruppeB alles machen, was sie wollen.
- Nach Möglichkeit sollte die komplette Rechtevergabe schon durch das Anlegen eines Projektordners eingestellt werden.

Ich möchte mit oben stehendem lediglich erreichen, dass nicht aus Unachtsamkeit die komplette Freigabe gelöscht wird. Zur Verfügung stehen Yosemite-Server, BatchMod, TinkerToolSystem und evtl. weiteres, was ich wenn nötig kaufen würde.

Wer "kennt das Problem" und hat da einen Tipp für mich?

Das Thema in das du dich einlesen möchtest lautet "Inherit vs. Explicit".

Du willst ein Diagramm der Struktur aufzeichnen für die zu vergebenen Rechte. Nutzernamen, Gruppennamen. Du willst die Benutzer in die RICHTIGEN Gruppen stecken mit den richtigen Rechten und diese den entsprechenden Ordnern zuweisen - einige Order "Explicit" die meisten "Inherit". Geht alles mit Boardmitteln.

Einen Brotkrumen sollst du auch bekommen

Da fällt mir ein, Onkel Bresink hat reichlich Lesestoff

Grundsätzlich ist das fast alles mit ACLs zu realisieren. Diese werden automatisch auf neu erstellte Unterobjekte vererbt (übertragen).

Da kannst du dann nahezu alle möglichen Szenarien umsetzen. Welcher Benutzer, bzw. welche Gruppe darf lesen, schreiben, löschen bzw. welchem Benutzer ist genau das verwehrt wird.
Zusätzlich kann man jedem Recht noch mitgeben, ob es nur für diesen Ordner gilt, für den Ordner selber und alle darin enthalten Dateien, oder aber auch noch alle weiteren Unterordner und -dateien die in dem Ordner liegen.

ACLs kannst du entweder über die Server.app setzen, oder aber dann ganz klassisch per Terminal

Danke Euch beiden; ich habe mit ACL schon zu tun gehabt, jedoch fehlt mir bislang die Phantasie, wie ich das tatsächlich alles "in eine Anweisung" packen kann: Ich will den Unterordnern ja andere Rechte "vererben", als dem darüber gelagerten. Na, ich werde mich mal einlesen; vielleicht geht das ja tatsächlich nur mit ACL ohne irgendwelche "Ordneraktionen".

Gerade mal ein wenig gelesen in den Brotkrumen: Ich sehe Licht am Ende des Tunnels; man kann tatsächlich definieren, dass Rechte zwar vererbt werden, für den Vererbet aber gar nicht gelten. Mithilfe dieser Methodik scheint "mein Problem" lösbar.

Das hatte ich doch schon am 18.11.2015 erklärt. *seufz*

Ja, der thread ist mir sehr wohl bewusst.
Ich habe jedoch schon die ein oder andere Stunde investiert und habe es nicht hinbekommen; auch jetzt sitze ich seit geraumer Zeit wieder davor und probiere es aus; aber es klappt nicht. Ich will halt nicht jedem vom admin erzeugten Ordner eine eigene ACL wieder zu Fuß mitgeben müssen. So in etwa:

- Freigabe: in diesem Ordner darf nur der admin Unterordner (1622, 1623, etc.) anlegen und löschen.
- Unterordner: Hierdrin darf jedes Gruppenmitglied tun, was es will.

Wenn nur POSIX aktiv ist, können alle Gruppenmitglieder wohl nur lesen. Das finde ich auch in Ordnung. Ich sehe wohl den Wald vor lauter Bäumen nicht Wenn das tatsächlich einfach ist, immer her mit der ACL, die das bewerkstelligt. Ist mir 'ne Tüte Haribo wert

Mit was verwaltest du denn deine ACLs, bzw. ACEs?
Dann wäre es etwas einfacher dir bei den Einstellungen zu helfen.

Wichtig ist: Wenn Die Ordner schon bestehen, und du auf der obersten Ebene deine ACLs einstellst, dann musst du die ACLs nach unten durchorganisieren (übertragen). Ansonsten werden die ACLs nur für Ordner und Dateien mitgegeben die direkt in diesem Ordner erstellt werden, und anschließend wiederum in diesen Unterordnern etc.
Also in OS X auf jeden Fall in der Freigabeübersicht unten auf's Zahnrad klicken > Zugriffsrechte übertragen auswählen und dann dort den Haken bei "Zugriffssteuerungsliste" setzen (Rest kann weg bleiben) und dann auf OK klicken.

Der Rechner, auf dem ich das mache, ist ein mac mini late 2014 mit Yosemite-Server. Als Software benutze ich TinkerToolSystem. Was mir fehlt, ist das Verständnis dafür, welche ACL/ACE ich tatsächlich einstellen muss, um mein Ziel zu erreichen, was ich 03.02.2016 11:21 schrieb: Zusätzlich zu den einstellten POSIX sollten Mitglieder der Gruppe in den Unterordnern (1622, 1623, oder wie auf immer sie heißen) schreiben und löschen können, wie sie wollen. Nur halt sollen sie die Unterordner selbst nicht löschen dürfen.

Warum nutzt du TinkerTool System wenn du dein Ziel auch mit Bordmitteln erreichen kannst? Man schießt auch nicht mit 2 Kanonen auf den selben Spatzen
Du kannst zwar auch TinkerTool System nutzen aber das nimmt man üblicherweise nur dann her wenn gerade kein Server von Apple installiert ist.

Zu deinem eigentlichen Problem:
Erstelle eine ACL für die Freigabe bei der alle der Mitarbeitergruppe alles dürfen. Die überträgst du dann auf alle Unterordner.
Jetzt wandelst du die Rechte der 1. Ebene (die gegen versehentliches Löschen zu sichernden Ordner) in explizierte Rechte um und gibst denen gleichzeitig eine neue Gruppe "Projektadmin" mit. Diese Gruppe darf dann alles. Das mußt du für jeden Projekteordner separat machen.

So in dieser Reihenfolge hab ich es hier gemacht (soweit ich mich richtig erinnere). Es kann aber auch sein das du die Gruppe Projektadmin gleich zu Anfang mit zuweisen kannst und nach der Umwandlung in explizierte Rechte nur bei Mitarbeitergruppe was auf nur lesen geändert wird.

Wenn du das nicht hinbekommst wirst du dir einen Ga Hamann holen müssen der es dir vor Ort erklärt.

@MikeMuc

TinkerToolSystem nutze ich u.a. deswegen, weil ich damit auch Rechte entziehen kann ("verweigern"), was mit Yosemite-Server nicht geht. Jedoch benutze ich "Verweigern" noch nicht

So wie Du es erklärst würde es doch bedeuten (wenn ich das richtig verstehe), dass ich die Rechte ständig nachziehen müsste mit jedem neuen Ordner, mit jeder neuen Datei, die dazukommt.

Genau das will ich aber nicht. Ich möchte eigentlich einmal eine clevere ACL auf den Weg schicken, die alles regelt, so dass ich manuell nicht mehr eingreifen muss.
Aber je mehr ich darüber nachdenke, desto mehr erscheint es mir, als ginge das nicht (so einfach), was ich vorhabe.

P.S.: Was ist ein "Ga Hamann"?

Nein, nur wenn ein neuer Projektordner angelegt werden muß. Sonst wäre ich längst gesteinigt worden

Was ist an folgendem falsch?

Ich habe eine ACL, die es allen Gruppenmitgliedern erlaubt, alles (Schreiben, löschen, etc.) in der "/Freigabe/Projekteordner.../weitere Ordner.../ zu tun.
Dieser ACL schalte ich jetzt eine ACL vor, die nur dem Ordner Freigabe zugewiesen wird und die besagt, das Gruppenmitgliedern das Recht "Unterordner oder Dateien löschen" verweigert wird. Dieser ACL gebe ich mit, dass sie nur auf den Ordner Freigabe vererbt werden soll.