Guten Morgen allerseits,

ich brauche einen guten Tipp.
Auf einem Server ist eine Stuktur angelegt. Diese darf von den Usern auch nicht geändert werden.
D.h. im Klartext, die Namen der Ordner nüssen fix sein. In weiteren Unterordnern dürfen die User treiben was sie wollen.

Wie schaffe ich es, dass die Namen der Ordner geschützt sind.
Ich habe schon alles mögliche probiert, schätze aber ich seh grad den Wald vor lauter Bäumen nicht.

Danke

Ganz einfach: Für die betreffende Benutzergruppe Schreibrecht für die Unterordner erteilen und das Schreibrecht für den "oberen" Ordner, in dem die Unterordner liegen, entfernen.

Interessante Antwort.
Hättest Du hier eine etwas genauere Erläuterung für mich.

Denn damit kann ich gerade nichts anfangen.

Es ist schon etwas haarsträubend, einen Server administrieren zu wollen, ohne zu wissen, was eine Berechtigungsverwaltung ist und wie sie funktioniert. Weißt Du denn wenigstens, wie die User (und Du) am Server angebunden sind und wie die "Struktur" erstellt wurde? Ohne diese Infos kann Dir nämlich kein Mensch helfen.

Lieber jogoto, ich denke schon, dass ich weis was ich tue. Es handelt sich hier um das setzten von flags.
Falls Du dich damit auskennst, dann darft Du gerne einen Kommentar schreiben.

Das klang nicht so. Du kannst mir ja nicht mal meine Frage beantworten. Und ja, mit etwas mehr Infos könnte ich helfen. Also, welche Dienste laufen? Wo und wie werden die Benutzer administriert? Über welches Protokoll erfolgt der Zugriff? Werden oder sollen ACLs verwendet werden?

Nun gut
Ganz normaler OS X Server 10.4.11. Derzeit keine ACL, kein OpenDirectory, Software UpdateServer, Jabber Server
Zugriff über AFP, kein SMB, auch keine Windows Kisten im Netz.
Verwaltung der User und Gruppen über den Arbeitsgruppenmanager.

Ich habe schon viel darüber gelesen, und meines Wissens geht das nicht über die GUI.
Also falls Du jetzt eine Lösung hast freue ich mich.

Nochmals zur Zusammenfassung
Auf der ersten Ebene liegen diverse Ordner. Diese Struktur muß auch beibehalten werden. Den Usern soll es aber unmöglich sein den Namen des Ornders zu verändern, oder gar den Ordner zu verschieben. Allerdings sollen die Gruppen Zugriffsrechte davon nicht betroffen sein.

Sollte das nur mit ACL´s zu machen sein. Auch gut.

Ich finde das genauso haarsträubend wie jogoto, aber sei's drum...

1) Im Arbeitsgruppenmanager eine neue Gruppe anlegen und alle Benutzer, die auf diese "Struktur" zugreifen sollen, zu Mitgliedern dieser Gruppe machen.
2) Im Finder den obersten Ordner dieser Struktur auswählen und per "Ablage > Informationen > Eigentümer & Zugriffsrechte" als Gruppeneigentümer die neue Gruppe einstellen, für die Gruppe "Lesen & Schreiben" wählen und "Auf alle Unterobjekte anwenden" drücken.
3) Im gleichen Fenster für den oberen Ordner das Gruppenrecht wieder auf "Nur Lesen" zurück stellen und das Fenster schließen.

harrsträubend hin oder her...

Gesagt getan. Nur leider lässt sich der Name des Ordners weiterhin verändern und auch verschieben ist möglich.

Im Arbeitsgruppenmanager lassen sich unter dem Punkt "Sharing" Volumen freigeben und die jeweiligen Benutzer und Gruppenrechte einstellen. Leider hat das unter 10.4 nie dahingehend funktioniert, dass die Einstellungen für Schreibrechte bei Neuanlage und Änderung von Ordnern oder Dateien erhalten blieben. Schreibrechte hatte danach immer nur der Besitzer. Ich weiß nicht, ob sich das mit Updates zu 10.4 erledigt hat. Es war für mich auf jeden fall der Grund, warum ich ACLs eingeführt habe, was ebenfalls über den Punkt "Sharing" geht. Zuerst muss dazu das Volumen (oder der Ordner) freigegeben werden. Danach lassen sich die ACLs aktivieren.
Wenn ich wieder in Reichweite meines Servers bin, kann ich auch mal einen Screenshot machen ...

Womöglich ist der Benutzer, der umbenennen und verschieben kann noch Mitglied anderer Gruppen mit mehr Rechten. Ein Verbot über die normale Rechtevergabe ist dann nicht möglich.

Gleiches Problem.
Name lässt sich ändernm, verschieben ist möglich.

Habe extra einen neuen User mit Standardrechten angelegt, in eine neu Gruppe eingefügt.
Hilft nix.

Das bestätigt was ich schon weis...geht nicht über die GUI

Dann hast Du was falsch gemacht. Möglicherweise ist für das AFP-Share die Option "Zugriffsrechte vom umschließenden Objekt übernehmen" eingeschaltet worden. Die funktioniert erstens nicht richtig und kann man zweitens hier auch nicht brauchen.

Ja, das soll so sein und darf auch nicht funktionieren. Das wäre sonst eine erhebliche Sicherheitslücke, da sonst Benutzer in die Lage versetzt wären, durch Kopieren auf den Server Rechte an Objekten zu erhalten, die sie vorher nicht hatten.

Die Einstellung unter "Sharing" wirkt nur auf den allerobersten Ordner, der freigegeben wurde und nur in dem Moment der Einstellung. Auf alle anderen Objekte des Shares und Objekte, die in Zukunft angelegt werden, hat dies absolut keine Wirkung.

Sollen Zugriffsrechte auf neue Objekte vererbt werden, muss man das entweder mit SUID/SGID-Techniken oder mit ACLs machen.

osxnerd

Da hast Du mich eventuell falsch verstanden. Ich weiß zwar, dass Apple das angeblich so gewollt hat, es ist aber trotzdem ein Krampf.
Beispiel: Benutzer A und Benutzer B sind eine Gruppe. Im gemeinsamen Gruppenordner haben natürlich beide Schreibrechte, da sie gemeinsam an Dateien arbeiten sollen. Benutzer A erstellt eine Datei und speichert sie im Gruppenordner. Ergebnis: Benutzer B hat nur Leserechte an der Datei und kann sie nicht bearbeiten. Selbst wenn beide an der Datei Schreibrechte hatten, muss nur Benutzer A eine Änderung vornehmen und speichern, damit er Benutzer B die Schreibrechte entzieht.
Wie gesagt, ich weiß nicht, ob das unter 10.4.xx noch so ist, in den Anfängen von 10.4 war es so. Mit ACLs passiert das nicht.


stephanh

Ich hab hier keine Probleme. Ordner, an denen ein User keine Schreibrechte besitzt können weder verschoben noch umbenannt werden. Keine Ahnung woran das bei Dir liegt. Im Unterbau habe ich garantiert nicht herumgefummelt.

Ich habe das nun alles mal hin und her getestet. Neue User, neue Gruppen.Handbuch gewälzt.
Fazit, man schaffte s zwar das umbenennen der Ordner zu unterbinden, leider aber nicht das verschieben.
Wie kann ich mit den ACL´s das verschieben der Ordner der obersten Ebene verhindern ?

Jetzt verstehe ich gar nichts mehr. "Verschieben" ist doch technisch gesehen ein kopieren mit anschließendem löschen. Wer also nicht löschen darf, darf nicht "verschieben", oder?

Warte, warte:
verschieben ist nur ein Verzeichnislistenänderungskram. Aus dem einen Verzeichnis wird der Name des Objektes entfernt und in ein anderes eingefügt. Die Speicheradresse auf der Festplatte ändert sich nicht.

Ich habe in den letzten Tagen so allerhand probiert.
Handbuch gelesen, mit Kollegen gesprochen. Hilft alles nichts.
Haarsträubend hin oder her, aber irgendwie kriegt das, mich eingeschlossen, kkeiner gebacken, ACL´s so einzurichten, dass die erste Ordnerebene nicht umbenannt und gelöscht werden kann.

Kennt jemand von Euch jemanden der sich wirklich damit auskennt, oder eine gute Literaturquelle.

Danke