Neue Benutzer können sich nicht entfernt am Mac anmelden

ThreadErsteller

Golden Delicious
Mitglied seit
15.03.16
Beiträge
9
Hallo zusammen,

ich kann seit einiger Zeit keinen neuen Benutzer für die Dateifreigabe erstellen und mich mit diesem auf dem Mac mini Server (Late 2012), macOS 10.14.3 entfernt anmelden. Auf dem Mac mini wird das Programm Server ausgeführt.

Mein Vorgehen:
  • Neuer Benutzer in der Systemsteuerung angelegt - "nur teilen"
  • Benutzer in der Systemsteuerung der Büro-Gruppe hinzugefügt
  • Unter Freigaben die Dateifreigabe aktiviert un dort beim geteilten Ordner die Bürogruppe mit Lese- und Schreibrechten versehen (diesen Schritt hatte ich schon vor Jahren erledigt - die Gruppe besteht ja bereits)
  • Auf dem entfernten Rechnern (verschiedene MacBook Pro-Modelle) im Finder auf "mit Server verbinden" gegangen und dort Benutzernamen und Passwort des neuen Benutzers eingetragen
  • Fehlermeldung: Der Zugriff auf deinen Account auf dem Server "xyz" wurde verweigert.
Beim überprüfen der alten und neuen Benutzer konnte ich keinen Unterschied in den Rechten o.ä. entdecken. Was mache ich falsch, habe ich übersehen oder vergessen?

VG
 

Ijon Tichy

Ingol
Mitglied seit
21.11.06
Beiträge
2.092
Einstellung auf dem Server prüfen:
  • System Preferences > Sharing > Remote Login
  • Erlaubte User prüfen
Bei anderen (bestehenden) Usern geht's, ist also kein generelles Problem?

Ggf. das Passwort zurücksetzen und den Anwender bitten ein neues zu setzen.
 

ThreadErsteller

Golden Delicious
Mitglied seit
15.03.16
Beiträge
9
Die Einstellungen habe ich überprüft und sind korrekt.

Zwischenzeitlich stehe ich im Kontakt mit dem Apple Support. Dieser meint, dass es im Wechsel zwischen Mac OS Server über diverse Betriebssystem-Versionen und der Server-App irgendwas zerschossen hätte. Die Empfehlung ist mehr oder weniger das System neu aufzusetzen.

Dies habe ich probeweise auf einer anderen Partition getestet und funktioniert auch - in dem Fall sind natürlich alle Nutzer neu.

Das Problem ist somit also "gelöst", wenn auch anders als gehofft...
 

Ijon Tichy

Ingol
Mitglied seit
21.11.06
Beiträge
2.092
Meine Erfahrung mit dem Apple-Support ist, dass sie letztlich immer zu der Empfehlung kommen, alles neu aufzusetzen.

Ich glaube, dass man das reparieren kann, aber dazu bräuchte man mehr Infos von dir.
 

ThreadErsteller

Golden Delicious
Mitglied seit
15.03.16
Beiträge
9
Es ist für den Support sicher einfacher/schneller alles neu aufzusetzen, anstatt mühsam auf Fehlersuche zu gehen.

Da wir mit dem Rechner bereits mehrere Betriebssystem-Versionen durchhaben, wobei sicher immer etwas hängen bleibt. Zudem benötigen wir quasi nur noch die Dateifreigabe. Da erschien mir Kosten/Nutzen von neu aufsetzen durchaus vertretbar. Dazu kommen ja noch Probleme mit Dateizugriffsrechten, die ich in einem anderen Thread beschrieben habe.

Mehr Infos kann ich gerne bereitstellen - ich hatte soweit alles aufgelistet, was mir sinnvoll erschien.

Momentan sieht es aber so aus, als ob Apple erstmal seine Hausaufgaben machen muss um die Zugriffsrechte in den Griff zu bekommen. Aussage Apple-Support: Das Problem ist bekannt, es gibt momentan keine Lösung, wann es eine geben wird wissen wir nicht... Da schiele ich doch mal langsam Richtung NAS...
 

Ijon Tichy

Ingol
Mitglied seit
21.11.06
Beiträge
2.092
Leider muss man sagen, das es generell Sinn macht, sich von einem Mac Server zu verabschieden, da Apple ja selbst absolut keine Ambitionen mehr in der Richtung zeigt.

Wenn es für dich okay, neu aufzusetzen, dann ist das vermutlich eine saubere Lösung.
 
  • Like
Wertungen: dg2rbf

Marcel Bresink

Maunzenapfel
Mitglied seit
28.05.04
Beiträge
5.389
Dieser meint, dass es im Wechsel zwischen Mac OS Server über diverse Betriebssystem-Versionen und der Server-App irgendwas zerschossen hätte.
Das ist Blödsinn, denn in der Server-App sind überhaupt keine Funktionen mehr, die irgendetwas mit Deinem Problem zu tun haben. Wenn Du nur den File Server brauchst und auch keine Benutzer-Accounts in einem Open Directory-Dienst hast, könntest Du die Server-App komplett löschen, ohne dass sich irgendwelche Änderungen ergeben würden.

Mit welchem Protokoll greift Du im Finder auf den Server zu (afp, smb, nfs, https, sftp, …)? Gibst Du tatsächlich den Kurznamen des Accounts an? Könnte es einen Namenskonflikt zwischen diesem Account und einem vielleicht früher angelegten Open Directory-Account des Servers geben?
 
  • Like
Wertungen: dg2rbf

ThreadErsteller

Golden Delicious
Mitglied seit
15.03.16
Beiträge
9
Das ist Blödsinn, denn in der Server-App sind überhaupt keine Funktionen mehr, die irgendetwas mit Deinem Problem zu tun haben. Wenn Du nur den File Server brauchst und auch keine Benutzer-Accounts in einem Open Directory-Dienst hast, könntest Du die Server-App komplett löschen, ohne dass sich irgendwelche Änderungen ergeben würden.
Vor der Server-App war ja noch das Mac OS Server drauf. Macht das einen Unterschied? Keine Ahnung. Früher liefen noch andere Dienste über den Server bzw. die App, wie CalDav und CardDav etc., mittlerweile aber nicht mehr.

Ob die Probleme nun von dem Wechsel von OS Server auf Server-App auf "ist eigentlich alles in 1014 integriert" herrühren? Wenn ich das wüsste, würde ich wahrscheinlich nicht nachfragen. Da sich im Laufe der Zeit sicher einige Altlasten angesammelt haben, schien mir der Weg eines neuen Systems sinnvoll, zumal mir der Support bei evtl. Fragen und Problemen direkt hätte helfen können.

Mit welchem Protokoll greift Du im Finder auf den Server zu (afp, smb, nfs, https, sftp, …)? Gibst Du tatsächlich den Kurznamen des Accounts an? Könnte es einen Namenskonflikt zwischen diesem Account und einem vielleicht früher angelegten Open Directory-Account des Servers geben?
Wir greifen per SMB auf den Server zu mit dem Kurznamen des Accounts. Einen Namenskonflikt kann ich mit hoher Wahrscheinlichkeit ausschließen, die Kurznamen an die Vornamen angelehnt sind und es nie Personen mit diesen Vornamen gab.

Da der Server nur noch als Datenspeicher genutzt wird, schon etwas in die Tage gekommen ist (*hüstel" 2012 *hüstel*), die Festplatten eh ausgetauscht werden müssen und Apple da anscheinend Probleme mit den Berechtigungen hat, werde ich wohl sehen, ob ich das System übergangsweise nochmal nutzbar machen kann. Und mich dann nach nem NAS umzusehen.
 

Marcel Bresink

Maunzenapfel
Mitglied seit
28.05.04
Beiträge
5.389
Vor der Server-App war ja noch das Mac OS Server drauf. Macht das einen Unterschied?
Nein, und das kann eigentlich auch nicht sein, denn das letzte Mac OS X Server "ohne App" gab es bis etwa Juli 2011. Das lässt sich auf dem Mac mini Server von Ende 2012 (2 Generationen später) überhaupt nicht starten.

Bezüglich möglicher "Altlasten" wäre es allerdings noch denkbar, dass auf dem Server-Computer schärfere Kennwort-Richtlinien eingestellt sind und dass das neu vergebene Kennwort diese Richtlinien nicht einhält.

Ob die Probleme nun von dem Wechsel von OS Server auf Server-App auf "ist eigentlich alles in 1014 integriert" herrühren?
Auch das nicht. Die File Server-Dienste waren schon immer (seit 1997) in macOS integriert, also schon als das System noch "Apple Rhapsody" hieß. Die älteren Serverversionen haben nur zusätzliche grafische Bedienelemente hinzugefügt und eine damals noch existierende Sperre bezüglich der Maximalzahl gleichzeitig verbundener Benutzer aufgehoben.

Wir greifen per SMB auf den Server zu mit dem Kurznamen des Accounts.
OK, erhältst Du die gleiche Fehlermeldung, wenn Du die Verbindung im Finder nach folgendem Muster herstellst?

smb://benutzer@server.domain/Freigabe

Dies geht nur unter der Annahme, dass der Freigabename keine Leerzeichen oder Sonderzeichen enthält.
 
Zuletzt bearbeitet:
  • Like
Wertungen: doc_holleday

ThreadErsteller

Golden Delicious
Mitglied seit
15.03.16
Beiträge
9
Nein, und das kann eigentlich auch nicht sein, denn das letzte Mac OS X Server "ohne App" gab es bis etwa Juli 2011. Das lässt sich auf dem Mac mini Server von Ende 2012 (2 Generationen später) überhaupt nicht starten.
Mein Fehler, ich dachte, das wäre vorher noch drauf gewesen. War zu der Zeit auch nicht im Unternehmen.

Bezüglich möglicher "Altlasten" wäre es allerdings noch denkbar, dass auf dem Server-Computer schärfere Kennwort-Richtlinien eingestellt sind und dass das neu vergebene Kennwort diese Richtlinien nicht einhält.
Ich habe dazu einen neuen Benutzer mit dem gleichen (schwachen) Passwort erstellt. Da tut sich nix. Würde mir das denn nicht angezeigt werden, wenn das Passwort nicht den Richtlinien entspricht?

OK, erhältst Du die gleiche Fehlermeldung, wenn Du die Verbindung im Finder nach folgendem Muster herstellst?

smb://benutzer@server.domain/Freigabe

Dies geht nur unter der Annahme, dass der Freigabename keine Leerzeichen oder Sonderzeichen enthält.
Das macht keinen Unterschied - mit alten Benutzernamen kann ich mich anmelden - mit den neuen Benutzern nicht. Wo liegen bei beiden Verbindungsmethoden denn die Unterschiede bzw. Vor- und Nachteile?
 

ThreadErsteller

Golden Delicious
Mitglied seit
15.03.16
Beiträge
9
Ich werde bei der Variante smb://benutzer@server.domain/Freigabe anschließend nochmal nach Benutzername und Passwort gefragt. Das scheint aber unabhängig von den vorher angegebenen Benutzernamen zu sein.

Also smb://max@... funktioniert mit Benutzer Max und Passwort XY genauso (oder nicht) wie smb://max@... mit Benutzer Peter und entsprechendem Passwort.
 

Marcel Bresink

Maunzenapfel
Mitglied seit
28.05.04
Beiträge
5.389
Würde mir das denn nicht angezeigt werden, wenn das Passwort nicht den Richtlinien entspricht?
Beim Erstellen des Benutzers mit den Systemeinstellungen leider nicht.

Wo liegen bei beiden Verbindungsmethoden denn die Unterschiede bzw. Vor- und Nachteile?
Diese Schreibweise sorgt nur dafür, dass bestimmte Bugs im Finder auf Client-Seite ausgeschlossen werden und dass keine Missverständnisse entstehen, mit welchem Server-Dienst die Verbindung hergestellt werden soll. Es sorgt außerdem dafür, dass keine Kerberos-Tickets während der Anmeldung verwendet werden, was aus früheren Server-Versionen übriggeblieben sein könnte. Daran liegt es aber offenbar alles nicht.

Verändert sich das Verhalten, wenn ein neuer Standard-Benutzer (also nicht "nur Freigabe") zum Test auf dem Server angelegt wird, sich dieser Benutzer einmal am Serverbildschirm anmeldet und wieder abmeldet und der Benutzer erst danach vom Client aus eine SMB-Verbindung herstellt?
 

errorlog

Niederhelfenschwiler Beeriapfel
Mitglied seit
02.06.19
Beiträge
841
Könnte das Problem in einer Umstellung auf APFS liegen? Anbei ein Auszug aus der Hilfe von MacOS. Wird über AFP oder SMB zugegriffen? In den Optionen der Dateifreigabe lässt sich einiges verstellen.

Ich frag nur weil:

Unter Freigaben die Dateifreigabe aktiviert un dort beim geteilten Ordner die Bürogruppe mit Lese- und Schreibrechten versehen (diesen Schritt hatte ich schon vor Jahren erledigt - die Gruppe besteht ja bereits)
So ewig gibt es 10.14 ja auch nicht
 

Anhänge:

Zuletzt bearbeitet:

errorlog

Niederhelfenschwiler Beeriapfel
Mitglied seit
02.06.19
Beiträge
841
Nein, da er über SMB zugreift,
War nur ne Vermutung, weil er ja eigentlich nur "versucht" über SMB zuzugreifen. Deshalb die Frage, was auf der Serverseite überhaupt aktiv ist.

Den Server im Finder "sehen" sagt ja noch nix über das Protokoll aus.

"Remote" so einen Fehler zu finden, ist nicht ganz easy. Bin gespannt...