Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Software>Passwortabfrage bei Verschieben und Löschen auf SMB-Share

Passwortabfrage bei Verschieben und Löschen auf SMB-Share

caMpi
caMpi09.01.1916:27
Guten Tach,
ich habe hier mehrere PCs & Macs, die auf eine Netzwerkfreigabe (>10 TB) auf einem Windows 2016 Server zugreifen.
Die User haben auf beiden Systemen keine administrativen Rechte.
Unter Windows 7 funktioniert soweit alles.
Wenn ich aber auf den Macs (El Capitan, Sierra und High Sierra) Ordner in der Freigabe löschen oder verschieben will, kommt fast immer die Frage nach Benutzernamen und Passwort eines lokalen Administrators. Das weiß ich, weil der Benutzername bei Versuch als lokaler Admin vorausgefüllt wird.
Da die User keinen Adminzugang haben, klicken Sie auf "Abbrechen" und der Löschvorgang wird aufgrund von unzureichender Rechte abgebrochen. Als lokaler Admin geht es aber auch nicht.
Anschließend lässt sich der Order/die Datei auch eine zeitlang nicht mehr über Windows löschen oder verschieben.
Irgendwann geht es aber dann plötzlich ohne erkennbares Muster.
Somit ist es kein generelles Berechtigungsproblem, sondern hängt irgendwie mit dem Zugriff unter macOS zusammen.
Der Zugriff erfolgt "natürlich" per SMB. Dabei ist es egal ob z.b. SMB1 erzwungen wird (per nsmb.conf), die Problematik bleibt.
Ich selbst hätte eine Lösung, aber die Abschaffung der Windows-Fileserver ist keine Option. Ebenso NAS oder sonstige Hardware, alles keine Option.
Hat jemand eine Idee?
Danke
„Keep IT simple, keep IT safe.“
0

Kommentare

rmayergfx
rmayergfx09.01.1917:22
Welche Berechtigungen sind denn auf den entsprechenden Ordner auf dem 2016er Fileserver gesetzt ?
Werden diese nach unten vererbt ? Sind die Macs ans AD angebunden, oder arbeiten diese nur mit lokalen Benutzern ? Bitte mal diesen Workaround ausprobieren:
„Der Computer soll die Arbeit des Menschen erleichtern, nicht umgekehrt !“
+2
MikeMuc10.01.1911:24
Gerade bei Heise gelesen:

Da steht zwar, das es unter W7 Probleme gibt was bei dir aber funktioniert. Aber wer weis schon was MS so alles macht...
0
rmayergfx
rmayergfx10.01.1911:54
@MikeMuc
Er hat den Server 2016 am start, nicht W7 oder 2008R2
„Der Computer soll die Arbeit des Menschen erleichtern, nicht umgekehrt !“
0
MikeMuc10.01.1912:24
rmayergfx
Aber ein ähnliches Problem. Es wird nach einem Paßwort gefragt wo es eigentlich nicht gebraucht werden sollte. Also entweder stimmt am Server die Rechteverwaltung nicht, der Client interpretiert was falsch oder es ist ein Wurm drin. Der könnte dann eine ähnliche Ursache, wie bei Heise beschrieben, haben. Muß nicht so sein aber ganz ausschließen würde ich es eben auch nicht.
-1
caMpi
caMpi10.01.1914:27
@MikeMuc: "Wir" sind etwas zu groß um Windowsupdates zu installieren, die erst seit ein paar Tagen draußen sind

@rmayergfx: Die Macs sind nicht AD-integriert. Die Anmeldung am Rechner erfolgt über lokale Benutzer, die Verbindung zu der Freigabe geschieht aber mit dem jeweiligen AD-Benutzer.
Die Berechtigungen werden über Gruppen gesteuert. Die Mac-User sind alle in derselben Gruppe, die auf den freigegebenen Ordner die Berechtigungen Modify, Read&Execute, List folder contents, Read, Write haben; kein Full control. Die Berechtigungen werden nach unten vererbt.
Die Anmeldung unter Windows erfolgt jeweils mit demselben Benutzernamen.
Ich habe nun mal ein paar Einstellungen u.a. aus deinen Links in ein Script gepackt und an die User verteilt:
[default]
streams=yes
soft=yes
signing_required=no
file_ids_off=yes
Außerdem verhindere ich mal das Erstellen der DSStore-Dateien. Anschließend würde ich die Finder-Previews deaktivieren.
Danke erstmal.
„Keep IT simple, keep IT safe.“
+1
rmayergfx
rmayergfx11.01.1921:10
Berichte mal wenn das einige Zeit gelaufen ist ob das Script die Situation verbessert hat. Parallel dazu würde ich mal am 2016er Server die Connections und Logins überwachen, ob es dort Auffälligkeiten gibt.
„Der Computer soll die Arbeit des Menschen erleichtern, nicht umgekehrt !“
0
caMpi
caMpi16.01.1914:26
Das hat erstmal nichts geändert.
Als nächstes deaktiviere ich die Findervorschauen und lösche bestehende .DS_Store-Dateien auf der Freigabe.
„Keep IT simple, keep IT safe.“
0
caMpi
caMpi14.02.1906:33
Das hat leider auch nicht geholfen.
Was könnte die Dateien noch sperren? Spotlight? Irgendwelche Adobe-Software?
„Keep IT simple, keep IT safe.“
0
Marcel_75@work
Marcel_75@work14.02.1909:14
Die Macs nicht mehr direkt an Euer AD zu binden und stattdessen mit einfachen lokalen User-Accounts zu arbeiten, ist ja grundsätzlich ok.

Aber warum dann nicht NoMad nutzen?

Das würde ich an Deiner Stelle zumindest mal testen:
0
caMpi
caMpi14.02.1917:10
Marcel_75@work
Die Macs nicht mehr direkt an Euer AD zu binden und stattdessen mit einfachen lokalen User-Accounts zu arbeiten, ist ja grundsätzlich ok.
Das ist nicht nur ok. Von einem simplen AD-Join habe ich unter macOS ohne Aufwand keine Vorteile.
Noch nichtmal eine Passwortänderung bekommt der Mac mit. Dadurch dass unsre übrigen 500 Windowsrechner „dumme“ Terminals für VDI sind, kann ich für 10 Macs keinen solchen Aufwand betreiben. Wahrscheinlich wird das mein Problem auch nicht lösen.
Btw, die Macs werden per ARD rudimentär verwaltet.
Zumal sonst ja alles funktioniert. Und sobald ich mich neu mit dem Share verbinde, kann ich auch wieder Ordner löschen.
Das ist ne Komfort-/Workflowgeschichte.
Aber um bei deinem Vorschlag zu bleiben: Nomad löst das Problem nicht. Nach kurzer Zeit kann ich wieder keine Ordner verschieben/löschen/umbenennen.
Ich fürchte, es läuft im Zweifel auf einen Test von Acronis File Connect hinaus.
„Keep IT simple, keep IT safe.“
0
rmayergfx
rmayergfx14.02.1920:23
Da gab es doch mal ein nettes Programm namens DAVE, das kann sogar DFS...
Mit diesem würde ich mal testen.
Wenn du noch eine Testmaschine hast, kannst du ihr auch ein aktuelles SMB verpassen und damit testen:
„Der Computer soll die Arbeit des Menschen erleichtern, nicht umgekehrt !“
0
caMpi
caMpi14.02.1920:29
**NOTICE - THIS PRODUCT IS NOW END OF LIFE. LIMITED SUPPORT AVAILABLE. READ MORE HERE**
Und
Since that time, Apple has continued to improve their operating system by inclusion of their own SMB and Active Directory technology, in part with the help of Thursby. With the recent announcement of the High Sierra operating system, Thursby believes that Apple has finally culminated a total Microsoft file systems to the quality that eliminates the need for either DAVE or ADmitMac.
Wenn die sich da mal nicht täuschen
Acronis File Connect war früher Extremez-IP
„Keep IT simple, keep IT safe.“
0
rmayergfx
rmayergfx14.02.1920:34
Probiere doch DAVE mal aus... solange die Macs noch mit einem älteren OS rennen.
Es gibt auch noch die Methode SMB1 wieder zu aktivieren: natürlich nur um zu testen ob es an der SMB Version und der Implementierung liegt.
Für 10.13 gibts auch noch eine Info von Apple:
„Der Computer soll die Arbeit des Menschen erleichtern, nicht umgekehrt !“
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.