FileStation permissions - Funktionsweise

[quaylar]

Hi zusammen,

Ich hab ein triviales Berechtigungsproblem - anscheinend versteh ich nicht wie das funktioniert:

Ich hab ein share "Daten". Alle Benutzer meiner "users" Gruppe sollen darin Vollzugriff auf alle Dateien und Ordner haben - mit einer Ausnahme: Auf top level Ebene sollen sie weder Dateien noch Ordner löschen können (schon passiert - dann waren die Buchhaltungsdaten eines ganzen Jahres weg - eh gesichert, aber sowas soll nicht mehr vorkommen).

Was hab ich also gemacht: In den permissions des shares, hab ich "Vollzugriff" für die users Gruppe eingestellt -> alles auf allow (in den custom permissions).
Dann einen 2. Eintrag hinzugefügt -> Deny für "Delete" und "Delete subfolders and files" für "this folder", "child folders" und "child files" vom share.

Nachdem Deny permissions die allow permissions overrulen, würde ich annehmen, dass dies genau die permissions umsetzt die ich beabsichtige.

Was passiert in Wirklichkeit: Ich kann in Windows im Explorer zwar einen "Neuer Ordner" anlegen, wenn ich dann aber den Namen dafür vergeben will, sagt mir Windows, dass der Benutzer die Berechtigung dafür nicht hat.

Weiß jemand wo ich hier den Denkfehler hab?

Grüße,

--p

 

[Fusion]

Die erste Empfehlung ist die Systemgruppe "users" nicht für eigene Zwecke zu benutzen und dort keinerlei Einstellungen vorzunehmen (um Konflikte mit dem DSM zu vermeiden), sondern mit eigenen neu angelegten Gruppen zu arbeiten.

Dann würde ich persönlich auf der vermutlich auf der Freigabe selbst nur Leserechte vergeben und dann ab den Unterordnern die Vererbung unterbrechen und andere Rechte setzen.

Aber nochmal zum Verständnis:
- Anlegen von Ordnern soll erlaubt sein (innerhalb der Freigabe und aller Unterordner)?
- Löschen von Ordnern und Dateien soll komplett verboten sein (ebenfalls von der Freigabe abwärts)?

Zu deinem Windows-Problem kann ich leider nichts sagen.
Eventuell löscht und erstellt Windows den Ordner neu, wenn kein Inhalt vorhanden ist und verschiebt den Ordner, wenn er Inhalt hat.
Oder es verschiebt den Ordner und kann dann das originale Filesystem-Object nicht entfernen, oder ähnlich.
Ähnlich wie hier: https://forums.freenas.org/index.ph...sion-users-cannot-rename-or-move-files.54936/
https://social.technet.microsoft.co...e-for-group-share-folder?forum=winserverfiles

 

[quaylar]

Hi,

- Anlegen von Ordnern soll erlaubt sein (innerhalb der Freigabe und aller Unterordner)?
- Löschen von Ordnern und Dateien soll komplett verboten sein (ebenfalls von der Freigabe abwärts)?

zu 1) ja
zu 2) nein. Löschen von Ordnern und Dateien soll nur auf top-level (1. Verzeichnisebene - sprich: /Daten/Ordner1, /Daten/File1) verboten sein.

zu Windows) Du denkst es ist ein Windows-Problem? Ich dachte bisher, ich hätte an den Berechtigungen etwas falsch eingestellt.
Die permissions selbst scheinen mir jetzt auch kein sonderlich exotischer use-case zu sein, deswegen bin ich überrascht, dass das nicht so funktioniert wie gedacht.

Windows kann nichts löschen und neu erstellen. Der neu angelegte Ordner hat vorher nicht existiert...Ich erstelle ihn _neu_ - und direkt im Erstellungsprozess vergebe ich den Namen.

 

[Fusion]

zu 2) ok. Dachte nur weil du "Deny für "Delete" und "Delete subfolders and files" für "this folder", "child folders" und "child files" vom share" geschrieben hattest und sich das denke auch auf weitere Unterstrukturen bezieht. Auswahl sollte wohl nur "this folder" sein für "delete" und "delete subfolders and files" sein. Müsste ich aber auch gegentesten um ganz sicher zu sein.

Nein, kein Windows Problem sondern ein allgemeines Problem im Dateihandling, wenn es für dich augenscheinlich ein "umbenenn/erstell" Aktion ist aber auf Dateisystem-Ebene ein "move/unlink" etc bedeutet.
Kannst du ja ganz einfach testen in dem du das Verbot zum Löschen ausschaltest. Wenn dann die "Erstellung" funktioniert dann ist dabei im Hintergrund eine Aktion involviert die ein Dateisystemobjekt löschen möchte.