[10.6 Snow Leopard] Neue Dateien/Ordner mit expliziten Nutzerrechten

[marc.in.sun]

Liebe Apfel Community,

seit längerem plagt mich ein Problem. Nun habe ich schon einige Tage Foren und Manuals durchsucht und auch schon versch. Einstellungen geändert, aber ich komme nicht zum Ziel... :-[

Ich habe in meinem Benutzerordner einen Ordner, welcher im Netz freigegeben ist. Dieser wird von mehreren Usern genutzt und soll von denen auch verändert werden. Ich bin Admin und habe alle Rechte dieses Ordners incl. aller darin enthaltenen Unterordner und Dateien folgendermaßen geändert:

User_1 (ich)    Lesen & Schreiben
User_2          Lesen & Schreiben
User_3          Lesen & Schreiben

Probeweise habe ich auch mal zusätzlich

everyone        Lesen & Schreiben

eingestellt.

Mein Problem ist, wenn neue Dateien oder Ordner angelegt werden, hat nur der User Schreibrechte, der sie angelegt hat. Alle anderen können Nur Lesen Das kann ich zwar manuell wieder ändern, aber nur wenn ich an dem Rechner lokal arbeite. Nicht wenn ich übers Netz zugreife. Ausserdem nervt es, weil es ein Produktivsystem ist, wo neue Ordner und Dateien ständig dazukommen und man nicht immer dran denkt, die Rechte zu ändern. Vor allem nicht wenn z. B. aus externen Quellen 1000 neue Fotos o.ä. über verschiedene Ordner verteilt werden. (und dies passiert relativ häufig)

Lange Rede kurzer Sinn: Wie stelle ich es an, dass alle Neuen Ordner/Dateien per Default
Lesen & Schreiben für alle User, meinetwegen auch für everyone wie oben kriegen?

Der betreffende Ordner soll dabei aber ausdrücklich ein Ordner von User_1 sein.
Es soll NICHT der Für alle Benutzer-Ordner verwendet werden. Auch NICHT irgendwelche Partitionen, Images o.ä.

In der Systemeinstellung habe ich bereits

Default Mask for creating new files = 0002

bzw. probeweise = 0000 eingestellt. Das bringt aber nix für Dateien des aktuellen Benutzers.

Gibts noch andere Möglichkeiten?

Danke und Gruß
Marc

 

[salome]

Ich denke du brauchst überhaupt nicht an den Ordnern herumfummeln, du trägt User 2 und User 3 unter Systemeinstellungen/Freigaben/Dateifreigaben als Benutzer ein und lässt sie lesen und schreiben.
Du kannst auch einen gemeinsamen Ordner in die linke Seite des Fenster "Dateifreigaben" in den Systemeinstellungen/Freigaben ziehen, den dürfen dann alle bearbeiten.
In diesem solltest du auch die neuen Dokumente / Ordner erstellen.
Wenn du dauernd an den Ordnerrechten herumwerkelst, wirst eines Tages keinen mehr aufmachen können.
So viel ich weiß gibt es in der Information ( i) auch eine Position"Freigegebener Ordner", ob das was bewirkt weiß ich nicht, denn ich ahabe den Finder abgeschaltet.
Salome

 

[marc.in.sun]

Hallo,

Danke für die Nachricht. Leider ist der Ansatz keine Lösung.

Es stehen bereits alle User in den Freigaben, einschließlich Jeder.

Administratoren     Lesen & Schreiben
Administrator       Lesen & Schreiben
User_1              Lesen & Schreiben
User_2              Lesen & Schreiben
User_3              Lesen & Schreiben
Jeder               Lesen & Schreiben

Und natürlich steht der Ordner in den Freigaben (linke Seite).

So viel ich weiß gibt es in der Information ( i) auch eine Position"Freigegebener Ordner"

Die ist durch die o.a. Maßnahme bereits automatisch angehakt.

Das Problem besteht leider in alle Richtungen:
1. Erstellt User_1 (ich) lokal einen Ordner innerhalb der Freigabe hat nur User_1 (ich) Schreibrechte. Die beiden Anderen dürfen nur lesen.
2. Erstellt User_2 remote einen Ordner in der Freigabe, bekommt nur dieser die Schreibrechte. Die anderen, einschließlich User_1 (ich) !!! dürfen wieder nur Lesen.
Lösen lässt sich das Problem derzeit nur, indem User_1 (ich), der ja Admin ist, nachträglich die Rechte lokal anpasst.

btw., ich werkel nicht blind an den Rechten herum. Es werden immer nur (fehlende) Rechte erweitert, niemals eingeschränkt. Und da es innerhalb eines User-Ordners passiert, stehen User wie System, Staff, Wheel etc., die mit falschen Rechten Probleme machen könnten, nicht mit drin.

Hoffe auf weitere Anregungen.

Danke
Marc

 

[abiogenesis]

Hallo,

dieses Problem taucht immer wieder mal auf und es gibt auch keine "richtige" Lösung außer einen Trick mit einem "Mitwachsenden Image". Schau dir das mal an (Post von Rastafari). Normalerweise müsste in deinem Fall ein Rechner mit OSX Server laufen. Dort kannst du dann alles richtig Administrieren.

 

[marc.in.sun]

Hallo,

den Beitrag von kolle/rastafari hatte ich im Zuge meiner Recherchen schon entdeckt.
Mit der Lösung kann ich mich jedoch nicht anfreunden. Ähnlich wie MacsPlorer schon schrieb:

Die Variante mit dem Image ist mir zu umständlich. Alle von sämtlichen Usern erstellten Dateien und Unterordner sollten auch für alle anderen User am Mac les- und schreibbar sein. Alles andere ist ...

Es ist nur so ein 'Gefühl': aber ein Image ist eben kein Ordner. Und auch wenn ich's jetzt noch nicht erklären kann, scheint sich ein Ordner mit allen seinen Eigenschaften ganz anders zu verhalten als ein Image. Und sei es bloß bei Datensicherung/Restore z.Bsp. auf fremden Maschinen übers Netz oder wenn später die Benutzer bzw. deren Rechte geändert werden sollen etc...

trotzdem Danke,
Marc

 

[abiogenesis]

Dann hilft dir wahrscheinlich nur ein richtiger Dateiserver. Falls du doch noch eine brauchbare Lösung findest, teile diese uns bitte hier mit.

Edit: da fehlt mir gerade ein, eine Time Capsule oder ein NAS tut es auch. Ob man dort aber verschiedenen Benutzern einfach und entspannt Rechte zuweisen kann weiß ich nicht. Bei meiner TC sind glaub ich erstmal alle Benutzer die zugreifen können R/W berechtigt.

 

[marc.in.sun]

Den Hinweis auf Server / NAS hab ich schon befürchtet.

Ob Ihrs glaubt oder nicht ...
Ich hab hier tatsächlich ein NAS stehen, eine Buffalo LinkStation Duo mit 2TB, angebunden per Gbit LAN. Benutzer/Rechte-verwaltung vorbildlich, das Gerät würde genau das tun was ich will !!!
Leider kann ich es nicht zum hier beschriebenen Zweck einsetzen, weil User_2 der Meinung ist, dass das Gerät zu laut ist und außerdem zu viel Strom verbraucht. Der lokale iMac muss reichen!

Ihr könnt mir glauben die LinkStation ist Flüsterleise und hat eine Automatic-Funktion, die Sie schlafen schickt, wenn kein Rechner mehr am Netz hängt. Aber wenn die Chefin sagt: zu laut und zu teuer, dann ist sie zu laut und zu teuer und wird nur einmal täglich fürs Backup angeworfen. Was für eine Verschwendung.
:-c

Ich werde also weiter an einer Lösung auf'm Mac arbeiten ...

Gruß
Marc

 

[frasi]

Ich hab hier tatsächlich ein NAS stehen, eine Buffalo LinkStation Duo mit 2TB, angebunden per Gbit LAN. Benutzer/Rechte-verwaltung vorbildlich, das Gerät würde genau das tun was ich will !!!

Sei Dir da mal nicht so sicher. Ich habe diese Linkstation im Einsatz und habe es bisher nicht geschafft, dass andere User in neu angelegten Verzeichnissen auch Schreibrechte bekommen. Zumindest in einer Win/Mac-Umgebung

Siehe http://www.apfeltalk.de/forum/zugriffsrechte-auf-serverlaufwerk-t300966.html

 

[salome]

Entschuldige, wenn ich dir unterstellt habe, "blind herum zu werkeln". Und entschuldige auch die neue Frage: Sind es lauter Macs, mit denen du verbunden bist oder Mac mit Windows? Dann darfst du keine afp oder ftp Verbindung wählen sondern musst per smb verbinden. Aber das weißt du vermutlich ohnehin.

 

[marc.in.sun]

@salome
alles OK. ich hatte die 'Werkelei' nicht als Unterstellung verstanden.
Es sind 2 Macs und ein Notebook mit Win7. Die Freigabe ist smb,
afp und ftp sind aus.

@frasi
habs gerade ausprobiert.
Du hast recht, scheint ein ähnliches Problem zu geben.
Wenn User_1 auf'm Mac Ordner im NAS anlegt hat nur er Schreibrechte. Die anderen dürfen lesen.
Aber immerhin: wenn User_2 mit Win Ordner im NAS anlegt darf jeder Lesen & Schreiben.
und auch: Wenn User_2/User_3 auf'm Mac unter Parallels/Win Ordner anlegt darf auch jeder Lesen & Schreiben.
Ich werde probeweise mal den Windows PC mit dem User-Account vom Mac auf das NAS zugreifen lassen.
Wenns klappt poste ich die Config in dem anderen Thread

Gruss
Marc

 

[marc.in.sun]

Hier die Lösung:
Aber Vorsicht: Der Ansatz taugt nicht für Sicherheitsapostel.

1.
In /etc/launchd-user.conf wird umask 0000 eingetragen.
Anschließend Mac neustarten.
Damit ist gewährleistet, dass Neue Ordner/Dateien in einem lokalen Benutzer-Ordner
die Rechte: everyone Lesen & Schreiben erhalten.

2.
Soll auch remote per smb (z. Bsp. von Windows aus) mit ähnlichen "Vollmachten" zugegriffen werden, muss
in /var/db/samba/smb.shares für die betreffende Freigabe create mask = 777 eingetragen werden.
Da diese Datei aber automatisch per script erzeugt wird, ist damit zu rechnen, dass der Hack verlorengeht
wenn z.B. in der Systemeinstellung an den Freigaben was verändert wird. Um das zu verhindern kann man das betreffende Script so umbiegen, dass es das nicht mehr macht, sollte aber irgendwo (gut sichtbar) dokumentieren, dass man eine solche Änderung vorgenommen hat, da man später sonst die Freigaben nicht mehr ändern kann.

Siehe: /etc/smb.conf

; Pull in system share configuration. These are managed
; by smb-sync-shares.
include = /var/db/samba/smb.shares

smb-sync-shares steht unter unter /usr/libexec/samba/ und schreibt die Einstellungen der Systemeinstellung/Sharing in /var/db/samba/smb.shares.

Also: Original Script sichern und dann ein Ersatzscript anlegen was nix macht aber Erfolg meldet:

sudo mv /usr/libexec/samba/smb-sync-shares{,.orig}

sudo sh -c 'cat <<EOT > /usr/libexec/samba/smb-sync-shares
#!/bin/bash
exit 0
EOT
'

sudo chmod a+x /usr/libexec/samba/smb-sync-shares

Damit können auch User über smb Neue Ordner/Dateien auf der lokalen Freigabe anlegen,
die die Rechte: everyone Lesen & Schreiben erhalten.

Gruß und gute Nacht
Marc

 

[abiogenesis]

Hallo,

danke für die Rückmeldung mit Lösung.

zu 1. So wie ich das jetzt verstehe betrifft das dann alle Benutzer(Konten) des Rechners und alle neuen Ordner oder Dateien die diese anlegen. Wenn das zutrifft finde ich diese Lösung, mit Verlaub, unbrauchbar. Aber du schreibst ja selbst "nicht für Sicherheitsapostel". Falls man es auf einen Benutzer beschränken kann, wäre das vielleicht noch zu dulden. Da gefällt mir die Lösung mit dem Image noch am besten.

zu 2. Auch hier finde ich, das Image über SMB bereitstellen ist die einfachere Lösung.

Aber ok, deine Lösung funktioniert und das ist das Wichtigste. Geht nicht, gibt´s nicht!

 

[Grimbi]

Guten Tag.

Habe das selbe Problem.
Der Ansatz:
In /etc/launchd-user.conf wird umask 0000 eingetragen.
Anschließend Mac neustarten.
Damit ist gewährleistet, dass Neue Ordner/Dateien in einem lokalen Benutzer-Ordner
die Rechte: everyone Lesen & Schreiben erhalten.

käme für mich in Frage.
Bei mir existiert jedoch keine solche datei (Mac OS 10.6.8).
Woran liegt dies?

Gruss und Danke

 

[Grimbi]

Habe es hinbekommen. Man muss die Datei erst mit nano erstellen.
Gibt es eine Möglichkeit dass nur Domain User Zugriff habe?
Wie wäre dann der Parameter hinter umask?