Rechtevergabe in Unterordnern ACL

[ichhalt83]

Hallo,

ich habe ein kleines Problem und zwei damit zusammenhängende Fragen:

1.
Wir haben einen gemeinsamen Ordner "Projekte". In dem Ordner liegen unsere Projekte in Unterordnern.
Nun haben wir einen neuen "eingeschränkten Nutzer" der nicht alle Unterordner sehen und auch nicht auf diese zugreifen soll. Dies lässt sich auch, leider etwas umständlich, über die erweiterten Rechte einrichten. Wenn ich nun aber unter OSX oder Windows im Hauptverzeichnis des gemeinsamen Ordners einen neuen Ordner anlege, ist dieser Standardmäßig auch für den neuen "eingeschränkte Nutzer" sichtbar. Kann ich das irgendwie beeinflussen, ohne mich im DSM anmelden zu müssen.

Die Einrichtung von neuen gemeinsames Ordnern für jedes Projekt möchte ich vermeiden.

2.
Wenn ich dem "eingeschränkten Nutzer" eine Cloud Station installiere, werden dann nur die Ordner synchronisiert auf die er Zugriff hat?

Beste Dank für eure Hilfe.

 

[NSFH]

Als erstes würde ich alle Nutzer in Gruppen zusammenfassen.
Den Gruppen Rechte für Freigaben und Apps vergeben
Dann alle Zugriffsrechte auf Apps und Freigaben jedem einzelnen Nutzer entziehen (ausser Admin). Das verhindert Inkonsistenzen in der Rechtevergabe.
Als nächstes den Gruppen nur Leserechte auf den Projerktordner geben. Damit können erst mal alle alles lesen.
In der untergeordneten Hierarchie einen Ordner auswählen und in seinen Eigenschaften die Vererbung der Rechte unterbrechen, nennt sich dort "ausdrücklich machen" und den Haken setzen für alle untergeordneten Ordner einschliessen. Das ist die Basis um ab hier individuelle Zugriffsrechte für alle Ordner und Dateien zu setzen.
Ab dieser Ebene kannst du jetzt die Zugriffsrechte für jeden folgenden Ordner neu vergeben, indem du Gruppen zuordnest und denen das jeweilige Recht für einen Ordner vergibst.

Bevor du in der Produktivebene rum spielst würde ich aber mal testweise eine neue Ordnerstrukur aufbauen!

 

[ichhalt83]

Besten Dank für die schnelle Antwort.

Ich habe deine Anleitung mal schritt für schritt befolgt. Demnach benötige ich gar keine erweiterten Berechtigungen, oder?

Leider habe ich aber nun aber das Problem, dass neue Ordner automatisch auch immer vom eingeschränkten Nutzer gelesen werden können und ich diese erst wieder vom admin einschränkten lassen muss.

Vielleicht habe ich auch etwas falsch verstanden...
Ich möchte quasi, dass jeder neue Ordner im Ordner Projekte nur zwei bestimmten Gruppen zur Verfügung steht. Bei Bedarf soll auch die Gruppe "eingeschränkter Nutzer" den Zugriff erhalten, aber die anderen Ordner nicht sehen.
Außerdem möchte ich vermeiden, dass beim erstellen einen neuen Ordners jedes mal der Admin wieder der Gruppe "eingeschränkter Nutzer" die Rechte entziehen muss.

 

[NSFH]

An dem Ordner, an dem die Einstellung der Rechte auf Ausdrücklich gesetzt wurden endet die Vererbung und wird ab da neu gesetzt. Du musst also alle, die bisher Lesend waren ab diesem Ordner auf Lesen/Schreiben setzen wenn erforderlich oder sogar eine deiner Gruppen alle Rechte entziehen/sie löschen, je nach dem was du brauchst. Die erweiterten Berechtigungen würde ich aber akivieren!
Dieses Nachbearbeiten lässt sich nicht vermeiden.
Im Prinzip lässt du also erst mal die Struktur der Ordner für alle lesbar, dann kann auch keiner einer Ordner löschen. Ab einer bestimmten Ebene beginnen deine manuellen Einschränkungen, die aber erst möglich sind, wenn du mit Ausdrücklich die Vererbung an dieser Stelle unterbrochen hast. Erst dann kannst du neue Zugriffsrechte setzen/entfernen.
Das alles macht man mit Gruppen, weil die immer so bleiben können, egal wer in welcher Gruppe mal ausgetauscht wird oder dazu kommt. Das erspart eine Menge Administrationsarbeit.
Das der Nutzer mit eingeschränkten Rechten nicht erlaubte Ordner nicht sehen darf kannst du ja mit einem Klick aktivieren. Er muss aber den Ordnerpfad zu seinen Dateien sehen können, also behält er für diesen Teil der Baumstruktur zwingend die Leserechte.