Hallo,
hoffentlich kann mir hier jemand helfen! Bin für jeden Hinweis dankbar.
Das Problem:
Ich möchte Verzeichnisse auf einem an den Server angeschlossenes Thunderbolt-RAID für Mitarbeiter (die alle auch an Mavericks-Macs arbeiten) freigeben.
Eigentlich ganz einfach. Aber die vergebenen Zugriffsrechte haben keine Funktion.
Ich habe im OS X Server GUI die Rechte für User und Gruppen sehr genau eingestellt. Trotzdem:
- wenn ich die Verzeichnisse per AFP freigebe, sieht sie jeder Mitarbeiter im Finder und kann lesend (und wohl auch schreibend) darauf zugreifen. Auch wenn er laut der Einstellungen in Server keine Rechte dazu hat
- wenn ich die Verzeichnisse per SMB freigebe, werden sie im Finder beim Klick auf den Server unter "Freigaben" gar nicht aufgelistet. Erst ein "Verbinden mit Server" und Eingabe von smb://[server-IP] listet diese Freigaben auf. Ist das normal? Wenn der Mitarbeiter sie dann öffnet, hat er trotzdem wieder alle Rechte, obwohl er entweder nur lesen oder - auf anderen Freigaben - auch gar keine Rechte hat.
Ich habe gelesen, dass Apple mit Mavericks von AFP weg will und SMB2 implementiert hat und als neuen Standard etablieren will.
Frage am Rande: Wenn dem so ist, warum werden dann SMB2-Shares nicht direkt unter "Freigaben" im Finder angezeigt?
Und die wichtigste Frage: Warum um alles in der Welt kann jeder auf alles zugreifen, obwohl ich die Rechte gut überlegt vergeben habe? z.B.:
- Spotlight: Eigene (ausgegraut, nicht änderbar)
- Gruppe "Geschaeftsfuehrung": Lesen&Schreiben
- Eigentümer: Lesen&Schreiben
- Staff: Kein Zugriff
- Alle anderen: Kein Zugriff
Ein Mitarbeiter, der nicht der Eigentümer und nicht in Gruppe "Geschaeftsfuehrung" ist, kann aber problemlos auf das Share zugreifen (r/w)!
Ein anderes Share hat:
- Spotlight: Eigene (ausgegraut)
- Gruppe "Technik": Lesen&Schreiben
- Gruppe "Alle Mitarbeiter": Lesen
- Eigentümer: Lesen&Schreiben
- Staff: Nur Lesen
- Alle anderen: Kein Zugriff
Ein Mitarbeiter, der nicht Mitglied von Gruppe "Technik" ist, aber Mitglied von Gruppe "Alle Mitarbeiter" hat nicht nur Lese- sondern auch Schreibrechte für das Share.
Wie kann das sein?
Spielen da noch irgendwelche anderen Rechte mit rein, vererbte Posix- oder ACLs des Volumes (ist ja ein externes, aber ich glaube, ich hatte das Problem auch mit Shares auf der servereigenen SSD).
Das Flag "Ignoriere Eigentümer" ist für dieses Volume NICHT gesetzt.
Muss man noch andere Rechte beachten als die, die im Server für die Shares gesetzt werden?
Info:
Die Benutzer sind Netzwerkbenutzer des OS-X-Server-OpenDirectory. Falls das 'ne Rolle spielt. Benutzer und Gruppen habe ich auch in der Server-GUI angelegt. Sie haben keine Admin-Rechte, weder für Server noch für ihre Clients.
Danke!
Viele Grüße,
Daniel
hoffentlich kann mir hier jemand helfen! Bin für jeden Hinweis dankbar.
Das Problem:
Ich möchte Verzeichnisse auf einem an den Server angeschlossenes Thunderbolt-RAID für Mitarbeiter (die alle auch an Mavericks-Macs arbeiten) freigeben.
Eigentlich ganz einfach. Aber die vergebenen Zugriffsrechte haben keine Funktion.
Ich habe im OS X Server GUI die Rechte für User und Gruppen sehr genau eingestellt. Trotzdem:
- wenn ich die Verzeichnisse per AFP freigebe, sieht sie jeder Mitarbeiter im Finder und kann lesend (und wohl auch schreibend) darauf zugreifen. Auch wenn er laut der Einstellungen in Server keine Rechte dazu hat
- wenn ich die Verzeichnisse per SMB freigebe, werden sie im Finder beim Klick auf den Server unter "Freigaben" gar nicht aufgelistet. Erst ein "Verbinden mit Server" und Eingabe von smb://[server-IP] listet diese Freigaben auf. Ist das normal? Wenn der Mitarbeiter sie dann öffnet, hat er trotzdem wieder alle Rechte, obwohl er entweder nur lesen oder - auf anderen Freigaben - auch gar keine Rechte hat.
Ich habe gelesen, dass Apple mit Mavericks von AFP weg will und SMB2 implementiert hat und als neuen Standard etablieren will.
Frage am Rande: Wenn dem so ist, warum werden dann SMB2-Shares nicht direkt unter "Freigaben" im Finder angezeigt?
Und die wichtigste Frage: Warum um alles in der Welt kann jeder auf alles zugreifen, obwohl ich die Rechte gut überlegt vergeben habe? z.B.:
- Spotlight: Eigene (ausgegraut, nicht änderbar)
- Gruppe "Geschaeftsfuehrung": Lesen&Schreiben
- Eigentümer: Lesen&Schreiben
- Staff: Kein Zugriff
- Alle anderen: Kein Zugriff
Ein Mitarbeiter, der nicht der Eigentümer und nicht in Gruppe "Geschaeftsfuehrung" ist, kann aber problemlos auf das Share zugreifen (r/w)!
Ein anderes Share hat:
- Spotlight: Eigene (ausgegraut)
- Gruppe "Technik": Lesen&Schreiben
- Gruppe "Alle Mitarbeiter": Lesen
- Eigentümer: Lesen&Schreiben
- Staff: Nur Lesen
- Alle anderen: Kein Zugriff
Ein Mitarbeiter, der nicht Mitglied von Gruppe "Technik" ist, aber Mitglied von Gruppe "Alle Mitarbeiter" hat nicht nur Lese- sondern auch Schreibrechte für das Share.
Wie kann das sein?
Spielen da noch irgendwelche anderen Rechte mit rein, vererbte Posix- oder ACLs des Volumes (ist ja ein externes, aber ich glaube, ich hatte das Problem auch mit Shares auf der servereigenen SSD).
Das Flag "Ignoriere Eigentümer" ist für dieses Volume NICHT gesetzt.
Muss man noch andere Rechte beachten als die, die im Server für die Shares gesetzt werden?
Info:
Die Benutzer sind Netzwerkbenutzer des OS-X-Server-OpenDirectory. Falls das 'ne Rolle spielt. Benutzer und Gruppen habe ich auch in der Server-GUI angelegt. Sie haben keine Admin-Rechte, weder für Server noch für ihre Clients.
Danke!
Viele Grüße,
Daniel
