Benutzer oder Gruppen oder warum überhaupt?

Mikes · 06. Aug 2010

Hallo,
inzwischen hab ichs fast aufgegeben. Versuche durch Benutzer und Gruppendefinitionen die gemeinsamen Ordner etwas abzusichern. Aber alle Einstellungen sind vollkommen sinnlos, da ich über mein Windows7 über Netzwerkumgebung alles sehen kann und praktisch alles löschen darf. Super Sache, dafür brauchte ich nicht mal einen User und Passwort eintragen...
(vielleicht wird ja automatisch der aktive User mitgegeben - wäre ja ok - nur darf der auf der DS nicht alles sehen..)
Gibts von Euch der die Erfahrung auch gemacht hat und mir erklären kann was ich falsch mache - oder warum das so ist?? Danke schon mal.

Grüße, Mike

killerbees19 · 06. Aug 2010

Welche Benutzer, Gruppen und Befugnisse hast du denn aktuell erstellt?

MfG Christian

Matthieu · 06. Aug 2010

Du hast entweder den Account "Gast" aktiv, oder meldest dich mit einem Benutzer in Windows an, dessen Name und Passwort auf der DS ebenso existiert.

MfG Matthieu

Mikes · 06. Aug 2010

Das Gast-Konto ist nicht aktiv und sicherheitshalber überall auf Kein Zugriff gestellt.
Stimmt, meinen Windows User Name / Passwort gibts auch auf der DS, allerdings komme ich in Verzeichnisse obwohl diese explizit für diesen User gesperrt sind. Es macht auch nichts aus, ob diese auf gesperrt oder nur lesen gesetzt sind....

gerade hab ich mit der Filestation mir eine Datei angeschaut, die ich vorher von Windows (user Mike) aus kopiert habe - und das steht als Besitzer user Backup ?!!? sehr seltsam das ganze..

wenn das so weiter geht stell ich auf iscsi um und mach das mit Windows....

Grüße Mike

itari · 07. Aug 2010

Hat die Gruppe 'users' irgend welche Rechte? Mit welchen Benutzer hast denn die File-Station aufgemacht? Da darf der Benutzer 'Admin' hat alles.

iSCSI ist keine wirkliche Alternative zu Samba. Da hättest dir auch ein einfaches SAN zulegen können.

Ansonsten unterscheidet sich die Konfigurationen einer DS-NAS, was die Shares angeht, nicht groß von einem Windows-Server oder einem beliebigen Samba-Server (SMB/CIFS-Server unter Linux) ... für alles braucht man ein wenig Geduld ... und manchmal auch ein paar Kenntnisse.

Itari

Mikes · 12. Aug 2010

Die users-Gruppe hat auf den Backup-Ordner nur Leserechte. Die Backup-Gruppe darf natürlich schreiben. die user an sich haben keine eigenen Rechte - sie sind nur den Gruppen zugeordnet. Die Anzeige der Berechtigung bei den einzelnen Usern für die gemeinsamen Ordner sieht auch ok aus. (z.B. bei User Mike nur lesen beim backup-ordner)
Mir scheint, die letzte Möglichkeit wäre noch alle Gruppen/user löschen und neu anlegen - und falls das nicht hilf manuell die samba config erstellen und der web-user-verwaltung den rücken zu kehren...

Matthieu · 12. Aug 2010

Entferne einfach mal die Berechtigungen bei users, denn die überschreibt alle anderen. Ein Nutzer hat immer so wenig Rechte wie nötig und das greift da.

MfG Matthieu

Mikes · 13. Aug 2010

So jetzt hats ne Sicherungs geschmissen:
habe alle User und Gruppen entfernt und neu angelegt. Zuerst die Gruppen, dann die User einzeln.
User Mike mit gleichen Passwort wie in Windows angelegt und Gruppe zugeteilt.
dann wollt ich mit WinExplorer in der Netzwerkumgebung drauf zugreifen und NIX wollte Benutzername und Passwort wissen und hat dann frech abgelehnt.

2. Benutzer Backup angelegt und Backup-Gruppe zugewiesen (User und Paßwort ist Windows garantiert nicht bekannt.) Jetzt wieder mit WinExplorer getestet und es ging! DS-User wieder deaktiviert und Windows sagte: Konto deaktiviert...
hä?
warum benutzt windows den Backup-User? und warum geht der user Mike nicht? und wie bring ich Windows dazu nicht mehr den backup-User zu verwenden?

jetzt brauch ich wirklich hilfe....
Gr. Mike

itari · 13. Aug 2010

Mach bitte mal Screenshots von deinen problematischen Shares ('gemeinsamen Ordnern') und den zugehörigen Gruppenrechten ... siehe Anhang und dann lass uns weiter diskutieren.

Itari

Mikes · 13. Aug 2010

screenshots

Mikes · 13. Aug 2010

Gruppenrechte

Mikes · 13. Aug 2010

update: nach einem Boot von Windows ist jetzt der user Mike aktiv.
Der Backup-User wird jetzt verweigert....

itari · 14. Aug 2010

Hast du gesehen, dass ich der Gruppe 'users' keine Zugriffsrechte gegeben habe. Das musst auch machen, sonst kommt jeder (weil ja jeder in der Gruppe 'Users' ist) trotzdem drauf ...

Es ist auch besser aus der Sicht der Shares die Privilegien zu verfolgen, als aus der Sicht der User oder Gruppen ... machst ja unter Windows auch nicht groß anders.

Itari

Mikes · 14. Aug 2010

itari schrieb:
Hast du gesehen, dass ich der Gruppe 'users' keine Zugriffsrechte gegeben habe. Das musst auch machen, sonst kommt jeder (weil ja jeder in der Gruppe 'Users' ist) trotzdem drauf ...

Es ist auch besser aus der Sicht der Shares die Privilegien zu verfolgen, als aus der Sicht der User oder Gruppen ... machst ja unter Windows auch nicht groß anders.

Itari

sorry - aber das löst mein problem gar nicht - wenn ich die user gruppe sperre und volle rechte auf den benutzer mike gebe, dann bin ich wieder der d.... weil ich dann von windows gar nicht mehr drauf komme - egal welchen user ich in dem kennungsdialog eingebe....

Mikes · 14. Aug 2010

die neueste erkenntnis:
- mein windows 7 nimmt sich irgendeinen user für die verbindung (aber nicht admin und nicht gast).
- das passwort des users ist dabei völlig egal - es wird ignoriert (hab es mehrmals auf der DS geändert - das hat windows überhaupt nicht gestört)
- die rechte des gewählten users werden eingehalten
- eine verbindung der gewählten ordner mit einem anderen User ist nicht möglich. (user / Passwort werden nicht akzeptiert)
- eine laufwerksverbindung auf einen ordner wird abgewiesen (es ist bereits eine verbindung mit einem anderen user aufgebaut.....)

Schlussfolgerung:
Zugriff vom Windows 7 PC mit aktivierten WindowsDateidienst auf der DS:
1 User / Passwort egal - keine Gruppen.

Herbert_Testmann · 14. Aug 2010

Mikes schrieb:
die neueste erkenntnis:

- eine verbindung der gewählten ordner mit einem anderen User ist nicht möglich. (user / Passwort werden nicht akzeptiert)
- eine laufwerksverbindung auf einen ordner wird abgewiesen (es ist bereits eine verbindung mit einem anderen user aufgebaut.....)
.

Das Du Dich zur selben Zeit immer nur mit einem User an der DS anmelden kannst, ist normal. Offenbar hast Du für einen User beim Verbinden das Passwort abgespeichert und das nimmt Windows jetzt immer, sobald eine Verbindung zur DS aufgebaut wird.

Mach ein DOS Fenster auf und verwende den Befehl "net use" Du siehst eine offene Verbindung zu Deines DS
net use \\name der DS\freigabeName /delete
Löscht diese Verbindung. Jetzt darf die nach net use nicht mehr zu sehen sein.
Danach versuche ein Laufwerk mit dem gewünschten User / PW neu zu verbinden.

Mikes · 14. Aug 2010

danke für den Tip, aber ich habe in bei net use keine einträge und kann auch keine löschen.
die verbindung zur ds mache ich ausschließlich über die netzwerkumgebung. und das passwort vom backup-user hab ich auf der ds schon geändert - das kann windows einfach nicht wissen. Die verbindung geht aber immer wieder über den backup-user, wenn ich den deaktiviere meldet windows auch brav - user deaktiviert - kein zugriff möglich...
seltsam, seltsam

Herbert_Testmann · 15. Aug 2010

Das Du eine Verbindung mit "net use" nicht siehst, in dem Moment wo Du auf die DS zugreifst, kann ich mir nicht vorstellen. Das probiere ich heute Abend mal aus.

Die User werden ja nicht über namen, sondern über IDs verwaltet. Hast Du diesen "Backup" User mal aus einem anderen User umbenannt?

Was passiert wenn Du den Backup user deaktivierst und einen neuen backup2 User mit anderem PW anlegst. Verbindet Windows sich dann auch automatisch?

Mikes · 15. Aug 2010

jetzt habs ich endlich geschafft, dass es im net use erscheint. und die verbindung gelöscht. jetzt will er auch einen user mit passwort wieder haben.
wenn ich dann z.B. ein laufwerk verbinde und versuche ein zweites mit anderen Anmeldeinfos zu verbinden, wird dies (ohne Fehlermeldung) verweigert - es kommt immer wieder das anmeldefenster. Geht nur eine Verbindung?
HA! ich hab den verdacht dass windows die anmelde information geklaut hat: zur datensicherung habe ich ein programm das dateien auf die ds kopiert - bei der verbindung hab ich den Backup-User mit Kennwort eingetragen. Also hab ichs getestet und es ist tatsächlich so.
Nachdem mein Backup-Programm die Verbindung aufgebaut hatte - hab ich sie mit net ... delete wieder gelöscht - aber der Zugang im Windows Explorer über die Netzwerkumgebung funktioniert auch weiterhin, obwohl kein eintrag bei net use vorhanden ist...
und jetzt noch das beste: wenn ich mich mit user mike zuerst auf die ds verbinde und dann das backup-programm manuell starte und dieses mit user backup versucht in den geschützten bereich zu schreiben: zugriffsfehler - es sind scheinbar die rechte von user mike aktiv...

was nun? (sprach zeus - die götter sind besoffen)

itari · 15. Aug 2010

Windows kann immer nur mit einem 'User' sich irgendwo im Netzwerk anmelden. Leider. Die Idee ist, dass auf einem Windows-PC ja immer nur 1 User gleichzeitig aktiv bzw. angemeldet sein kann.

Itari

Benutzer oder Gruppen oder warum überhaupt?

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Anhänge

Benutzer

Anhänge

Benutzer

Anhänge

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Kaffeautomat