1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

netinfomanager - neue gruppe erstellen

Dieses Thema im Forum "macOS & OS X" wurde erstellt von fantaboy, 29.08.05.

  1. fantaboy

    fantaboy Leipziger Reinette

    Dabei seit:
    09.04.04
    Beiträge:
    1.788
    das thema wurde zwar bereits mehrfach behandelt, aber so wurde die frage noch nicht gestellt. ich würde gerne mit dem netinfomanager eine neue gruppe erstellen. trau mich aber nicht, aus angst, etwas falsch zu machen und das system zu beschädigen.
    was muss ich beachten beim erstellen einer neuen gruppe?
    das ganze dient dem zugriff auf externe festplatten. mehrere user, die dann zur neuen gruppe gehören sollen, müssen auf bestimmte ordner zugreifen können und darin auch dateien anlegen und verändern dürfen. also wollte ich die neue gruppe zum eigentümer dieser ordner machen. so müsste das doch funktionieren, oder?
    die sache mit dem "eigentümer ignorieren" klappt nur begrenzt. und das mit den sharepoints hat es auch nicht gebracht.

    gruss

    jürgen
     
  2. fantaboy

    fantaboy Leipziger Reinette

    Dabei seit:
    09.04.04
    Beiträge:
    1.788
    weiss denn keiner was?
     
  3. ra1ner

    ra1ner Reinette de Champagne

    Dabei seit:
    09.12.04
    Beiträge:
    416
    Nein, für Netinfomanager-Tipps wird man hier geprügelt! ;)
    Im Ernst: Für den netinfomanager gilt das Gleiche wie für den root:
    Think before you type!
    Ich könnte noch hinzufügen: Know what you are doing!
    Das PDF zum Thema hier .

    Rainer :)
     
    mullzk gefällt das.
  4. mullzk

    mullzk Linsenhofener Sämling

    Dabei seit:
    04.01.04
    Beiträge:
    2.529
    sorry, ich habe den thread verpasst...
    das prozedere ist relativ einfach:
    in netinfo unter /groups eine neue gruppe erstellen. was dann alles per default gemacht wird weiss ich nicht mehr, auf alle fälle sollte die gruppe die eigenschaften users, realname, name und gid haben. name und gid müssen dabei einmalig sein, musst du unbedingt vorher sicherstellen.
    und bei der eigenschaft users gibts du einfach die (short)names der gruppenmitglieder ein. soweit so einfach. wie genau und was beachten und so, solltest du erst mal im von rainer verlinkten pdf lesen

    und nun musst du nicht die gruppe als eigentümer, sondern eben als die gruppe definieren, und (sonst bringts nichts) dieser neuen gruppe nun auch lese- und schreibrecht geben (per default ist ja nur schreiben). insb. musst du diese rechte auch dem hauptordner geben, sonst können die user keine neuen verzeichnisse darin erstellen.

    das problem ist nur, dass neue dateien und ordner danach wieder nur mit den standard-rechten erstellt werden: als gruppe nur die einzelgruppe der user, und die erst noch nur mit leserechten. daher muss jede neu erstellte datei erst einmal im info-fenster mit neuen berechtigungen versehen werden, was IMHO doch recht mühsam ist...

    wesentlich besser geht es unter tiger mit access control lists - dazu der vorzügliche artikel von AFP548. mit ACLs kannst du die gruppen vergessen, sondern einfach sagen: bei diesem verzeichnis kann neben dem eigentümer der und der user schreiben, lesen, erstellen, ändern, löschen, und dass dies auch für alle unterverzeichnisse gelten soll.
    sehr angenehm, das ganze.

    auch schon nur, weil es einem von netinfo fernhält, und rainer hat natürlich recht: netinfomanager-tips sollten verboten sein...
     
  5. Rastafari

    Rastafari Golden Noble

    Dabei seit:
    10.03.05
    Beiträge:
    17.896
    Sehr vernünftig. NetInfo ist ein rauhes Pflaster für Unbedarfte.
    Allerdings gibt es (freie) Software, die dich bei deinem Wunsch unterstützt, ohne dass du gleich mit den Händen "unter die Motorhaube" musst.

    Eigentlich nicht besonders viel - aber schon etwas.
    Deshalb solltest du diesen Job besser jemand anderen erledigen lassen:
    Und das wäre Sharepoints

    Fast. Gruppen können keine Eigentümer sein - nicht was die Unix-Permissions angeht. Aber prinzipiell bist du auf dem richtigen Dampfer. Du kannst zB root als Eigentümer des Ordners eintragen, deine selbst erstellte Gruppe als Gruppenzugehörigkeit dazu. Das hattest du wohl gemeint, nehme ich an.

    Das ist ein wenig kniffelig.
    Zum "Eigentümer ignorieren" gibt es einiges zu wissen:

    1) Eigentümer etc können überhaupt nur dort *respektiert* werden, wo das verwendete Dateisystem entsprechende Einträge möglich macht.

    Eigentümer und Rechte funktionieren nur auf den Dateisystemen:
    HFS+ (auch als HFS Extended bekannt)
    HFS + Journaled
    HFSX (auch HFS+ CaseSensitive genannt)
    UDF Bridge (bedingt - für DVD erdacht)
    UFS
    sowie etlichen anderen Unix-Varianten von letzterem, für die OS X jedoch keine direkte Untersützung mitbringt. Irrelevant also. Das Remote-FS NFS und ähnliche sollen hier ebenfalls aussen vor sein.

    *Nicht* unterstützt werden Ownership und Permissions aber bei:
    "MS-DOS" in mehreren Varianten: FAT und FAT32, sowie NTFS
    HFS (bzw HFS Standard)
    ISO9660 (ein reines CD-Filesystem)
    um die wesentlichsten zu nennen.

    2) Kann ein FS keine Permissions verwalten, verhält es sich nahezu genauso wie ein Volume, auf dem das "ignorieren" aktiviert ist. Die Unterschiede sind marginal und vom genauen FS abhängig. Nicht der Rede wert.

    3) Das "Ignorieren" gilt nur bei HFS+.
    Bei UFS Volumes werden die Perms *immer* respektiert, diese Option gibt es da nicht. Sie kann auch nicht zusätzlich aktiviert werden.

    4) Vorgaben:
    MOX kennt zwei verschiedene Arten von gemounteten Volumes.
    Das sind sog. "interne" und "externe". (Nicht zu verwechseln mit lokal und remote!)
    Als intern werden alle Volumes auf Medien betrachtet, die an einem PCI-Controller angeschlossen und keine Wechselmedien sind.
    Mit anderen Worten:
    Alles auf den internen Festplatten.

    Extern dagegen ist alles andere:
    USB- oder FW-Platten, CDs, DVDs, sowie gemountete Imagedateien.
    (auch wenn es die Images von Festplatten sind - das ist egal.)

    Bei internen Volumes werden die Perms als Vorgabe respektiert, bei allen externen dagegen ignoriert. (wie gesagt, bei HFS+)

    5) Die Einstellungen zu "ignorieren" abändern darf nur ein Administrator.
    Werden die Perms durch das abschalten aktiv, gelten sie sofort und für alle Benutzer.
    (Allerdings empfiehlt es sich dringend aufgrund unüberschaubarer möglicher Seiteneffekte, nach einer Änderung der Einstellung das Volume sofort auszuwerfen und neu zu mounten! Der Finder beispielsweise registriert das sonst nicht. Andere, vor der Änderung bereits gestartete Programme können sich auch sehr "merkwürdig" benehmen sonst...)

    6) Die Einstellung "ignorieren ja/nein" wird *nicht* auf dem Volume selbst gespeichert.
    Das wird im aktuellen Startvolume als Liste geführt. An einem anderen Gerät angeschlossen oder von einem anderen Startvolume gebootet, gilt auch eine andere, individuelle Liste. Das wird gern übersehen.

    Nur weil an *einem* Rechner die Checkbox "ignorieren" im Finder ausgeklickt wurde, weiss zB das Powerbook des Nachbarn noch lange nichts davon. Für den ist ein neues Volume, das dort zum allerersten Mal eingelegt wird, ganz einfach mit Standardeinstellungen zu behandeln...ignorieren also.

    7) Beim kopieren/klonen/als Image abziehen von Volumes gibt es ein lustiges Pottpurri von "Einstellung wird übertragen" oder eben "nicht übertragen".
    Im Zweifelsfall immer nachprüfen. (Das sprengt den Rahmen hier)

    8) Die Eigentümerschaft und Gruppenzugehörigkeit der Objekte auf den Volumes wird als *numerischer* Wert geführt, nicht als Name oder gar eindeutige Kennung.
    So ist zB auf den meisten Rechnern der User mit der ID 501 der Admin - der erste, der eingerichtet wurde. Auf anderen Rechnern kann das aber jemand völlig anderes sein - mit anderen Berechtigungen! Das kann Probleme aufwerfen.
    Irgendeine Form von *sicherem* Schutz vor unbefugtem Zugriff können Permissions also auf transportablen Medien NIE bringen!
    (Auch bei UFS nicht.)
    Dafür gibt es verschlüsselte Images oder Fileserver...

    Falls du damit meinst, du hast Sharepoints schon ausprobiert...
    Du musst natürlich die fraglichen Nutzer auch zu Mitgliedern der neu angelegten Gruppe machen, sonst bringt das nix.
    Dann klappt das aber auch.
    Nur: Alle verwendeten Rechner müssen diese Gruppe unter der gleichen Nummer *ebenfalls* kennen...siehe oben Punkt 8.
    Und auch dort müssen die User dieser Gruppe zugeteilt sein.
    Die Prozedur mit Sharepoints muss also auf allen verwendeten Rechnern in gleicher Weise durchgezogen werden. Geht das nicht oder ist das nicht praktikabel, muss ein Server her, der solche Dinge *zentral* verwaltet.

    Any Quetschns?
     
    1 Person gefällt das.
  6. fantaboy

    fantaboy Leipziger Reinette

    Dabei seit:
    09.04.04
    Beiträge:
    1.788
    Hallo Leute,

    erstmal vielen Dank für Eure Antworten. Ich werde mir das am Wochenende mal alles ansehen und ausprobieren. Am Montag werde ich es im Büro testen und Euch wieder berichten.
    Um es noch mal klarzustellen, suche ich nach einer Lösung, die es verschiedenen Benutzern erlaubt, sich an einem Rechner anzumelden, am dem drei FW-Disks hängen. Alle Benutzer sollen auf den Platten und allen Dateien und Ordnern Schreib- und Leserechte haben (Bilderpool).
    Vielleicht denke ich ja auch falsch, aber könnte es nicht sein, dass sich einfach alle Leute unter dem Namen des Besitzers einloggen könnten und damit volle Rechte hätten?
    Und gäbe es vielleicht eine Lösung, dass man diese Platte unter Apache einpflegt und dann freigibt?
    Wie machen das eigentlich andere Agenturen oder Firmen. Dieser Fall tritt doch sicher sehr häufig auf und welches ist die von Apple vorgesehene Standardlösung?

    Vergebt mir die Fragerei, aber ich möchte mein Halbwissen gerne erweitern....

    Gruß

    Jürgen

    P.S. Und danke für die Warnungen. Werde das beherzigen und vorher BUs anfertigen. Am liebsten würde ich den Netinfomanager ja ganz aussen vor lassen. Dazu werde ich mir das mit den ACLs mal ausführlich vornehmen.
     
  7. mullzk

    mullzk Linsenhofener Sämling

    Dabei seit:
    04.01.04
    Beiträge:
    2.529
    firmen machen dies, indem sie a) einen sysadmin einstellen oder b) produkte wie os x server einsetzen, die diese aufgaben sehr einfach machen, aber halt auch was kosten....

    das einloggen unter falschem user ist natürlich möglich, aber sehr sehr unschön. denn entweder arbeiten dann alle immer unter dem selben user (was natürlich das user-konzept ad absurdum führt und uns wieder in die windows95-zeiten spediert) oder aber sie switchen hin und her und haben damit keinerlei workflow mehr.

    eine lösung über webdav/apache ist möglich, aber nicht wesentlich einfacher als das bisher vorgeschlagene, und vor allem deutlich weniger performant.

    falls du tiger hast, würde ich dir wirklich die ACL geschichte empfehlen, ist das einfachste, sicherste und eleganteste. IMHO
     

Diese Seite empfehlen