Sharepoints Ordner READ ONLY freigeben will nicht..

[aerric]

Hi!
Habe folgendes Problem:
Will über mein Netzwerk Ordner freigeben (via Sharepoints) diese aber NUR mit R Option. Also READ (lesen) only.

Ich habe im Sharepoints Freigaben der Ordner erstellt, in OSX einen Gast User (ohne Admin Rechte) und eine Gastgruppe.
Bei den Freigaben habe ich über die Systemeinstallungen die Gruppe (Gast) auf R und Eigentümer (meinen user) auf R/W gestellt.

Trotzdem kann der Gast User nach dem einloggen mit User/PW Dateien ändern / löschen / schreiben.. wie kann das sein??

jemand eine Idee??

[Rastafari]

wie kann das sein??

Die Rechte, die du in SharePoints vergibst, gelten nur für die Freigabe selbst, nicht für Unterordner. Für deren Rechtevergabe bist du jeweils selbst verantwortlich.

[aerric]

Die Rechte, die du in SharePoints vergibst, gelten nur für die Freigabe selbst, nicht für Unterordner. Für deren Rechtevergabe bist du jeweils selbst verantwortlich.

Danke für die Antowrt!!
Und wie geb ich stell ich diese ein?
Nicht in Sharepoints oder? Bin irgendwie grad etwas überfordert...

[Rastafari]

Und wie geb ich stell ich diese ein?
Nicht in Sharepoints oder?

Genau wie bei den nicht freigegebenen Objekten auch: Im Informationsdialog des Finders.

[aerric]

ok.. das habe ich hinbekommen.
Jetzt habe ich aber so lange rumgepfuscht, dass ich jetzt nicht mehr auf den Mac komme.
Habe den User gelöscht, neu angelegt aber Windows akzeptiert user / pass nicht mehr..

woran kann das denn nun liegen?

Edit: Der User bei der Windowsanmeldung ist jetzt auch grau hinterlegt.. woran kann das liegen?

[Rastafari]

ok.. das habe ich hinbekommen.
Jetzt habe ich aber so lange rumgepfuscht, dass ich jetzt nicht mehr auf den Mac komme.
Habe den User gelöscht, neu angelegt aber Windows akzeptiert user / pass nicht mehr.

Mehrere Möglichkeiten:

a) Das Recht zur Freigabe per SMB ("Windows-Sharing") musst du für jeden Benutzer separat freischalten (in Systemeinstellungen -> Sharing -> Windows-Sharing). Nur die Benutzer, die dort "scharf geschalten" und gelistet sind, können sich über diesen Dienst anmelden. (Es empfiehlt sich übrigens dringend, das nur bei eingeschränkten Benutzern, aber niemals für Admin-Konten freizuschalten.)
Neu eingerichtete Benutzer sind da per Default nicht aktiviert (auch dann nicht, wenn du sie unter gleichem Namen erneut einrichtest)

b) Evtl hat dein Windows-Rechner noch alte Daten im Cache. Hier mag es helfen, alte gespeicherte Kennwörter aus dem Windows-Cache zu entfernen (Bei "Ausführen" eingeben: "control userpasswords2" - das öffnet auch unter XP Home den versteckten, aber wesentlich praktischeren Einstelldialog aus der Benutzerverwaltung von Windows 2000)
Ein Neustart hilft bei XP-Netzwerkverstopfung auch oft wahre Wunder. Ausserdem solltest du nicht vergessen, dass Windows es per Default nicht zulässt, sich am gleichen Server mehrfach unter verschiedenen Logins anzumelden. Ist eine Verbindung erst mal etabliert, trennt XP diese erst bei einem Neustart wieder einigermassen zuverlässig.

[aerric]

sooo...
Das habe ich hinbekommen.. das mit der WindowsFreigabe war danke des neuen Users nicht eingestellt.
Nun kann ich mit Windows wieder zugreifen.

Aber > Wenn ich jetzt auf meiner externen Platte folgendes einstelle:

Eigentümer: Ich
Rechte: RW

Gruppe: Gast
Rechte: R
Andere: R

kann ich über windows immer noch in den Ordner schreiben.
Aber so muss ich den die Rechte doch letztlich vergeben, oder?

In SP habe ich folgedenes eingestellt:
AFS + / SMB + / Eigentümer r/w / Gruppe r / Andere r / Stammverz Nein //


Außerdem steht ist das Ordner Symbol jetzt durch ein kleines rotes Schild markiert...
Und es ist mir aufgefallen das die Info des Laufwerks die Gruppe immer wieder auf "admin" zurückstellt obwohl ich gast wähle..

Bin ich denn prinzipiell auf dem richtigen Weg??

Edit: Dass das ganze auf einer FW Platte liegt tut nichts zur Sache, oder?

[Rastafari]

Und es ist mir aufgefallen das die Info des Laufwerks die Gruppe immer wieder auf "admin" zurückstellt obwohl ich gast wähle..

Sieh mal im Terminal mit...

Code:

sudo ls -la "/Volumes/Das betreffende Volume"

...nach, welchen Eigentümer deine Daten dort wirklich haben.

Mittels 'sudo' zeigt das 'ls'-Kommando ein Listing an, das nicht von dir selbst, sondern vom allmächtigen Benutzer 'root' angefordert wurde. Der Systemadministrator 'root' ist der einzige, der immer die wahren Eigentümer eines Objekts sieht, und der einzige, der diese Zuweisung auch ändern darf. Alle anderen Benutzer sehen immer nur das, was sie sehen sollen. Auch der Finder zeigt nur das an, was du als normaler Nutzer sehen sollst.

Ich verwette meinen Kopf gegen einen Windows-PC, das dort nicht das steht was du erwartest: Dort steht seltsamerweise immer wieder ein: "unknown". Richtig getippt?

[aerric]

Also wenn ich den Befehl im Terminal eingebe erhalte ich bspws folgende Werte:

-rw-r----- 1 erikalbe 101 1024 Jan 10 2006 Desktop DB
-rw-r----- 1 erikalbe 101 2 Jan 9 2006 Desktop DF
drwxr-xr-x 22 erikalbe staff 748 Apr 24 22:34 Work
drwxr-xr-x 10 erikalbe staff 340 Apr 24 22:30 Uni
drwxr-xr-x 4 unknown unknown 136 Feb 25 2006 Recycled
drwxr-xr-x 16 unknown 101 544 Nov 8 20:34 Files
drwxr-xr-x 4 unknown unknown 136 Jun 4 2006 EyeTV

Also liegst du mit dem "unknown" richtig denke ich

Wie muss ich nun vorgehen um den Eigentümer richtig zu bestimmen?

[Rastafari]

Wie muss ich nun vorgehen um den Eigentümer richtig zu bestimmen?

Nun, das ist eigentlich recht einfach. ABER:
Hier handelt es sich um ein sehr, sehr praktisches, wenn auch eher wenig bekanntes Feature des OS, nicht um einen Fehler oder einen Mangel am System. Du versuchst gerade etwas zu tun, das die Entwickler von OS X ganz bewusst so eingerichtet haben, dass du es nicht ändern können sollst.
(Im wohlmeinenden Sinn hat man dir die Möglichkeit zur Netzwerkfreigabe von externen Festplatten versagt, weil man dir die möglichen Komplikationen daraus nicht zumuten mag - du hast das aber erzwungen... jetzt musst du auch die unerwünschten Seiteneffekte dieses Eingriffs selbst in den Griff kriegen.)
Wenn du das änderst, solltest du wissen, was du tust, warum du es tun musst und wie es sich auswirkt. Daher fällt die Antwort etwas länger aus.

Wer oder was ist der Benutzer "unknown", wozu wird er gebraucht und was ist an ihm etwas besonderes?

Zunächst muss man vielleicht vorausschicken, das der Name unknown ("unbekannt") vielleicht ein wenig unglücklich gewählt wurde in diesem Zusammenhang. Dieses Benutzerkonto gibt es nämlich schon ewig auch unter anderen Unix-Varianten, dort hat es aber eine völlig andere Bedeutung (genau genommen eigentlich... ...gar keine?).

Bei anderen Unixen scheint es logisch zuzugehen, da meint die Zuweisung zu 'unknown' ganz einfach den einigermassen wörtlichen Sinn:
"Der Benutzer ist hier auf diesem System nicht bekannt".
Das ist zwar recht naheliegend und klingt ziemlich logisch, aber leider ist der praktische Nutzwert dieser Info nahezu Null - man kann nicht besonders viel damit anfangen, wenn man diese Zuweisung einsetzt. Das einzigste was sich daraus ableiten lässt sind Aussagen wie:
"Dieses Objekt gehört allen registrierten Benutzern, die gar keine registrierten Benutzer sind..."
Das ist bei genauerer Betrachtung alles andere als logisch, und es ist hyperliquid.

Daher hat man diesem Konto in OS X (und auch in einigen anderen BSD-Zweigen) eine neue Bedeutung gegeben, man hat ihm eine ganz spezielle "automagische" Funktionalität verpasst. Hier sollte der Eigentümername "unknown" besser in etwa so zu verstehen sein:
"Dieses Objekt ist keinem bestimmten Eigentümer zugewiesen, das Objekt ist (nahezu) 'vogelfrei'. Dieses Objekt gehört niemandem alleine, und daher allen gemeinsam. Jeder kann vorübergehend in die Rolle des Eigentümers dieses Objektes schlüpfen, aber keiner kann es dauerhaft sein."
Man sollte "unknown" also eher im Sinne eines "don't care about" oder "everybody (on demand)" lesen.
(Das wäre sicherlich einleuchtender, aber leider wären das keine 'legalen' Nicknames... )

Man hätte nun sicherlich einfach einen völlig neuen Pseudo-Benutzer namens "everybody" erschaffen können, um ein Objekt für "jeden" zugänglich zu machen, das wäre simpel gewesen. Einfach nur Zugriff "für alle" freigeben...
Aber ganz so einfach ist das leider nicht. Denn es gibt durchaus Situationen, in denen ein "nicht-privilegiertes" Programm, das im Namen eines angemeldeten Benutzers läuft, gar nicht wissen darf, das es noch weitere Miteigentümer für ein Objekt gibt - oder wer das im speziellen ist. Die Vorgabe lautet:
Das Programm soll in jeder Hinsicht so agieren können, als ob man selbst der Eigentümer wäre, ohne darauf irgendwelche Rücksicht nehmen zu müssen, dass andere das eventuell ebenfalls können - und das ganz ohne auf diese besondere Situation extra vorbereitet, ja noch nicht einmal informiert worden zu sein.
Was man brauchte, war eine Art "Wechselbalg" im Stil eines Chamäleons:
Jedes Programm und jeder Benutzer sollen glauben, sie wären die alleinigen Eigentümer eines bestimmten Objekts, auch dann, wenn das in Wirklichkeit überhaupt nicht der Fall ist.

So läuft der Fake mit unknown ab:

Wenn ein beliebiges Objekt den Eigentümer unknown (UID 99) besitzt und ein Benutzer greift darauf zu, sieht es für diesen aus als wäre er selbst der Eigentümer. Wenn mehrere verschiedene Benutzer abwechselnd (oder auch gleichzeitig) darauf zugreifen wollen, bekommt ein jeder für sich immer seinen eigenen Anmeldenamen als Eigentümer untergejubelt, ganz individuell und exclusiv.
(Natürlich in Wirklichkeit immer nur vermeintlich exclusiv...)
Abhängig von der Version von OS X und der Methode, mit der ein Volume gemountet wurde, kann es auch vorkommen, dass dann nicht der eigene Benutzername erscheint, sondern der des "Konsolenbenutzers" oder der Name des Users, der den Mountvorgang angestossen hat. Das ist aber recht kompliziert und eher ein Detail "für Experten", denn in den meisten Fällen läuft das sowieso immer wieder auf dich hinaus, der du da gerade vor dem Schirm sitzt...

Dazu passend gibt es (je nach Version des OS vorhanden oder auch nicht) auch noch eine Benutzergruppe namens unknown, für die gilt sinngemäss dann das gleiche:
Ist die Gruppenzugehörigkeit unknown (GID 99), bekommt ein jeder Benutzer seine eigene Gruppe vorgetäuscht. (Falls ein Benutzer mehreren Gruppen angehört, wird die 'primäre' Gruppe benutzt).
Auch hier ist die ganze Wahrheit noch ein wenig verzwickter, aber das hier zu wissen genügt im Allgemeinen.

Der einzige, der nicht durch diese Fata Morgana getäuscht wird, ist der oberste Systemadministrator (vulgo: 'superuser'), also der Benutzer 'root' (UID 0). Nur er kann die wahre Identität sehen. Ausserdem ist er sowieso der einzige, der Eigentümer von Objekten frei ändern darf.

Vermutlich braucht nicht erwähnt zu werden, dass man sich unter dem Namen 'unknown' selbst am System nicht einfach so anmelden kann, um hier zu tricksen - wer das freischaltet und erzwingt, erzeugt damit einen Zustand irgendwo zwischen Schizophrenie und Paradoxon und rammt sein System unweigerlich in Grund und Boden. Don't try it.

Man braucht dieses Täuschungsmanöver, um die Systemsicherheit zu verbessern und vor allem, weil man mit verschiedensten "Altlasten" zu kämpfen hat - Altlasten einerseits in Form von Datenträgern und Dateien, die aus längst vergangenen Zeiten stammen und so etwas wie die strikte Benutzertrennung eines Unix-Systems überhaupt noch nicht kennen. Beispielsweise hatten ältere Mac OS Versionen das Volumeformat "Mac OS Standard" benutzt, welches eine Eintragung von Eigentümern eines Objekts überhaupt noch nicht kannte. Das ganze OS kannte das nicht. Demzufolge kann auch ein heute in einer Classic-Umgebung laufendes 'altes' Mac OS mit den aktuellen Benutzerstrukturen von OS X absolut gar nichts anfangen: Es nimmt diese nicht mal wahr, geschweige denn dass es darauf Rücksicht nehmen könnte. Es braucht gewaltig "Nachhilfe" bei der Beachtung von modernen Sicherheitsmechanismen, aber das ziemlich trickreich und vor allem völlig im verborgenen, sonst bekommt man es einfach nicht problemlos ans laufen. Die durch die Benutzertrennung auftretenden Probleme müssen "transparent" gehandhabt werden.
Ein Fall für "unknown".

Weitere "Altlasten" bestehen andererseits in Form von Computerbesitzern, die auf ein Multiuser-Szenario mit seinen strikten Trennungen ebensowenig vorbereitet sind wie irgendwelche veraltete Software. (Nein, das ist nicht böse gemeint...)
Computerbenutzer (wie du und ich) wollen Software, die bequem und einfach in der Handhabung ist. Zu dieser gewohnt bequemen Handhabung gehört unter anderem die Möglichkeit, in möglichst unkomplizierter Weise, ohne grosses Tamtam und Gefrickel irgendwelche Daten von einem Computer auf einen anderen zu transferieren.
Als Möglichkeiten hierfür gibt es einerseits die verschiedenartig beschaffenen Netzwerke (Ethernet, Airport usw...), andererseits natürlich die althergebrachte, klassische Methode mittels Wechseldatenträgern wie CDs, DVDs, USB- und FireWire-Medien verschiedenster Bauart, oder auch deren 'imaginäre' Klone in Form von Imagedateien.

Erstere (die Netzwerke) unterscheiden sich zwar im Detail der Bauweise, aber die Erwartungen, unter denen wir sie betreiben wollen, sind weitestgehend identisch:
Wir erwarten "Sicherheit", und das bedeutet zuallererst eine klare und rigoros durchgesetzte Trennung von Zugriffsmöglichkeiten auf verschiedene Inhalte für verschiedene Benutzer und verschiedene Computer. Also genau das, was du gerade versuchst, einzurichten.

Bei den Wechseldatenträgern (vulgo: "externe Volumes") aber sieht das genau gegenteilig aus:
Wenn du dort eine ebenso strikte Zugriffstrennung wie im Netzwerk durchsetzen würdest, wäre es mit jeglicher Bequemlichkeit und Benutzerfreundlichkeit sofort aus und vorbei. Das kann man da (zumindest in den meisten Fällen) ganz und gar nicht gebrauchen.
Stell dir vor, du brennst für einen anderen Computer/Benutzer eine CD mit irgendwelchen Daten aus deinem Benutzerordner. Solange diese Daten in deinem privaten Ordner verweilten, waren sie nur für dich alleine zugänglich, und das war gut so. Wenn du nun -so wie das beim Mac üblich ist- für die CD ein Dateisystem wählst, das ebenso wie deine interne Festplatte den Zugriffsschutz auf Benutzerebene verwendet (normalerweise HFS Extended), dann sind konsequenterweise auch die Kopien der Dateien auf der CD nur für dich verwendbar. Das sollen sie aber doch gar nicht sein!!
Etwas genauer gesagt:
Die Daten auf der CD sind dann nur von einem Benutzerkonto aus benutzbar, das die gleiche Identifikationsnummer (UID) besitzt wie deines. Diese Nummer (nicht aber dein Name!) ist das Unterscheidungsmerkmal, das im Dateisystem unter "Eigentümer" aufgezeichnet wird.
Das kann auf einem anderen Computer, auf dem ganz andere Benutzerkonten existieren als auf dem ersten, sogar tatsächlich mal der gleiche Benutzer sein - das wäre dann aber purer Zufall und es ist absolut nicht vorhersagbar, wer nun genau den Zugriff auf die Dateien auf der CD erhalten wird. Es ist noch nicht mal vorhersagbar, ob denn überhaupt auf dem zweiten Computer ein solches Konto mit der richtigen Nummer existiert und somit ist auch nicht klar, ob denn überhaupt irgendwer Zugriffsrechte besitzt und die CD lesen kann...
(Für andere externe Volumes, die man von Computer zu Computer transportiert, gilt das alles natürlich gleichermassen, auch für deine Festplatten an USB oder FW...)

Und eine CD, eine Imagedatei oder die Daten von einer externen Festplatte an einem anderen Computer wegen solcher restriktiven Zugriffsbeschränkungen nicht lesen und damit natürlich überhaupt nicht verwenden zu können... nix gut.
Das wäre wohl kaum das, was man als "Otto Normalverbraucher" unter einer "bequemen Handhabung" verstünde.
(Bei CDs käme da noch das Problem hinzu, das du das nicht mal mehr nachträglich abändern kannst... doppelblöd... ausgesperrt.)

Du bist nun gerade drauf und dran, die beiden völlig gegensätzlichen Anforderungen an Netzwerke und externe Volumes miteinander zu verheiraten. Einerseits volle Zugriffsbeschränkungen, andererseits aber genau diese zu verhindern.....
Warum es bei OS X im Regelfall keine Freigabe von externen Platten gibt, braucht man sich da wohl kaum noch zu fragen, oder?

Um bei externen Volumes solche störenden Probleme mit Zugriffsrechten von vorneherein zu vermeiden, gibt es mehrere Ansätze.
Eine Möglichkeit wäre beispielsweise, ein Dateisystem einzusetzen bei dem Eigentümer und deren Rechte gar nicht erst aufgezeichnet werden, wie zB bei FAT/FAT32, bei CDs im ISO 9660 Format, oder bei Apples altem Dateisystem "Mac OS Standard". Wo solche Einstellungen gar nicht erst vorhanden sind, gibts auch keine Konflikte. Der Haken daran wäre natürlich, das man sie so auch dann nicht verwenden kann, wenn man das im besonderen Fall ganz ausdrücklich möchte. Keine tolle Lösung.

Eine andere Möglichkeit wäre, einem jeden Benutzer eine Option für den Fall der Fälle an die Hand zu geben, um sich bei auftretenden Zugriffsproblemen die notwendigen Rechte einfach ad hoc selber verschaffen zu können. Nur wäre das etwa so schlau wie seinem Kind einen vollen Benzinkanister in die eine Hand zu drücken, in die andere ein Päckchen Zündhölzer, das ganze mit den Worten: "und jaaaa nicht zündeln, sonst wehe...".
Die ganze Nummer mit den Rechten wäre so voll für die Katz. Erst recht keine Lösung.

Also gibt es was dazwischen:
Beim Dateiformat "Mac OS Extended" (a.k.a. "HFS+", und nur dort) gibt es die Möglichkeit frei zu wählen, ob man die Eigentümereinstellungen auf dem Volume wirklich einsetzen möchte, oder ob diese für das gesamte Volume vollständig ignoriert werden sollen. (Nur Administratoren dürfen das bestimmen)
Das System merkt sich die Seriennummern aller HFS+ Volumes, die es jemals zu sehen bekam und speichert für ein jedes ganz individuell ab, ob dort die Eigentümer tatsächlich respektiert werden sollen - oder eben nicht.
(Das wird nicht auf dem Volume selbst gespeichert, sondern in den Untiefen deines Startvolumes. Für jeden Computer -sogar für jedes Startvolume- müssen diese Einstellungen neu getroffen werden, wenn sie von den Voreinstellungen abweichen sollen. Eine etwaige Umstellung, die auf dem einen Computer getroffen wurde, hat also auf einem beliebigen anderen keine Gültigkeit!)

----snip----
zu viel Text