Es gebe eine smb-Freigabe mit Namen "Freigabe". Innerhalb dieses Ordners seien ganz viele andere Ordner "xyz" und darin auch wiederum Ordner und Dateien.
Kann ich macOS-Rechte so einstellen, dass das folgende gewährleistet ist: Jeder Benutzer kann überall hin gelangen und Dateien ändern, anlegen und Ordner anlegen und/oder löschen; jedoch bekommt er eine Fehlermeldung, wenn er versucht, einen Ordner "xyz" der ersten "Ebene" innerhalb der Freigabe zu löschen und es wird stattdessen nichts innerhalb "xyz" gelöscht? Soweit ich mich erinnere: Wenn ich dem Ordner "xyz" andere Rechte gebe und dann Befehl zum löschen gebe wird alles innerhalb des Ordners gelöscht, nur nicht der Ordner selbst.

Hintergrund: Ich möchte verhindern, dass man per malheur die Freigabe gemountet hat und mit Command-A, Command-backspace alles wegwerfen kann. Das soll bspw. nur ein admin können.

Zu den Rechten:
Lesen: Umfasst das Anzeigen von Namen und Inhalten von Dateien sowie von Unterverzeichnissen, zusätzlich kann man mit diesem Recht Programme ausführen.
Ändern: Beinhaltet neben allen Berechtigungen, die das Leserecht bietet, das Anlegen von Dateien und Unterverzeichnissen, das Ändern von Dateien sowie das Löschen von Dateien und Unterverzeichnissen.
Vollzugriff: Er erlaubt zusätzlich zu den Ändern-Privilegien das Modifizieren der Zugriffsrechte.

Das Problem dabei. Es gibt keine Option das löschen zu verhindern, denn sobald "Ändern" aktiv ist, kann der User auch löschen. Da das Ordnerobjekt nicht für sich alleine mit einem Deny belegt werden kann (ohne Vererbung können die alten Daten noch bearbeitet werden) würde spätestens beim Versuch eine neue Datei anzulegen der User einen Access Denied bekommen, da ja am Ordner festgemacht wird, was der User darf.
Wenn das Share auf einem Windows System gehostet wird, kannst du mit den NTFS Rechten den Usern das löschen verbieten.

Ja, im Prinzip geht das. Lege für den obersten Ordner eine Zugriffssteuerungsliste mit dem Inhalt

group:everyone deny delete_child,limit_inherit

an. Dadurch wird für alle Benutzer ein Löschschutz für Unterobjekte dieses Ordners angelegt, der auf diesen Ordner beschränkt wird. Es sind allerdings alle Objekte auf der obersten Ebene betroffen, also nicht nur Ordner, sondern auch Dateien.

Was wäre "deny delete_child" und "limit_inherit" in TinkerToolSystem übersetzt? Welches flag ist zu setzen?

Gruppe: Everyone - Verweigern - Eigene

Eigene Einstellung > Schreiben: Unterordner oder Dateien löschen - Vererbung: Auf diesen Ordner anwenden

Danke Dir, Marcel! Habe einen Versuch gestartet, der aber bislang noch Kollateralschäden verursachte:-) Ich berichte hier, wenn es was Genaueres gibt; muss arbeiten.