Einzelne Unterordner für einzelne User sichtbar machen

[ruby]

Guten Abend,

ich lese hier schon eine ganze Weile zu den Berechtigungseinstellungen, aber habe noch immer nicht den Durchblick.
Konkret möchte ich gerade Folgendes erreichen:

Ein User soll auf einen gemeinsamen Ordner X keinen Zugriff erhalten mit Ausnahme von Unter-Unterordner 1\A (also liegt Ordner A unter Ordner 1 im gemeinsamen Ordner X)
Der User soll also vom gemeinsamen Ordner nichts sehen und nutzen können außer seinen eigenen Ordner A. Er soll nur \\X\1\A\*.* sehen, aber nicht \\X\2\*.* und auch nicht \\X\1\B\*.* etc.
Das erreiche ich, indem ich erst X für ihn komplett freigebe und dann alle Unterordner abgesehen von Unterordner A wieder für diesen einen User verweigere.
Das Problem: Wenn nun später oberhalb von A ein neuer Ordner angelegt wird, z.B. \\X\1\C-neu, hat der User alle Rechte darauf. Außerdem ist das Entziehen von Rechten bei vielen einzelnen Unterordnern (2, 3, 4, ... 120, 121, 122 etc.) sehr aufwendig.

Am liebsten wäre mir, ich könnte einen Ordner samt Unterordner generell für alle User verweigern und durch Freigabe eines bestimmten Unterordners (hier \\X\1\A) ausschließlich diesen gezielt für einen bestimmten User freigeben. Aber genau das ist mir bisher weder in der DSM noch in der Windows-Berechtigungseinstellung gelungen. Bei dem Versuch sieht der User die gesamte Ordnerstruktur nicht, auch nicht den für ihn freigegebenen Ordner.

Ich muss also für jeden (neuen) Ordner ausdrücklich sagen, was der User nicht darf (was sehr mühsam und fehleranfällig ist), anstatt alles zu verweigern und nur zu gestatten, was er konkret darf (was mir als Admin deutlich mehr Sicherheit geben würde).

Habe ich einen Denkfehler oder liegt das am DS-System?


Danke für alle Anregungen und Geduld mit einem Anfänger.

Gruß, ruby

 

[blurrrr]

Mach Dir eine vernünftige Struktur, dann hast Du solche Probleme nicht - alles andere ist nicht sauber (das gilt ebenso für das Recht "verweigern" ).

 

[ruby]

Hm, bin für Vorschläge offen, wie ich meine Szenarien neu und "Admin-freundlich" ordnen kann. Hier ein Anwendungsbeispiel (das übertragen ist für andere, auch berufliche Anwendungen):
Tochter M sollte bisher mit ihrem mp3-Player nur auf ihre Kinder-Hörbücher zugreifen können. Jetzt wird sie älter und darf auch spannendere Themen konsumieren. Dafür möchte ich ihr nach und nach zusätzliche Hörbuch-Ordner freigeben, ohne sie in zusätzliche Ordner zu kopieren (Aufwand und Platzproblem). Die Schwester ist drei Jahre jünger, für sie sollen sich die Freigaben mit entsprechender Verzögerung entwickeln. Stelle ich nun in den Hörbuch-Ordner ein neues Hörbuch ein, ist er erstmal für beide sichtbar, obwohl er nur für die Erwachsenen gedacht ist. Ich muss also mit den Berechtigungen nachjustieren. Wäre es da nicht nachvollziehbar, dass da die Kinder nicht gleich automatisch dran sollen? Und wenn ich je Kind einen neuen gemeinsamen Ordner anlege und der Inhalte hat, die sich mit den anderen überschneiden (z.B. Schul-Infos), hätte ich am Ende drei Kopien einer Datei in verschiedenen Ordnern. Klingt für mich nicht praktikabel - und keineswegs "sauber" .
Gibt es bessere Lösungen?

 

[derek]

Wie blurrrr geschrieben hat, um eine Struktur wirst Du nicht drum rum kommen.

Um bei deinem Beispiel zu bleiben,
Hauptordner
|_ Hörbücher
|_ Ab_0_Jahre
|_ Ab_6_Jahre
|_ Ab_12_Jahre
|_ Ab_16_Jahre
|_ Ab_18_Jahre
|_ Filme
|_ Ab_0_Jahre
|_ Ab_6_Jahre
|_ Ab_12_Jahre
|_ Ab_16_Jahre
|_ Ab_18_Jahre
|_ Kind_1
|_ Kind_2
|_ Kind_3

Entsprechende Benutzergruppen anlegen:
0_Jahre
6_Jahre
12_Jahre
16_Jahre
18_Jahre

Den Ordnern die Gruppen mit den Rechten zuweisen und die Kinder in die entsprechenden Gruppen packen. Erreicht ein Kind die nächste Altersklasse, dann wird es in die entsprechende Benutzergruppe aufgenommen und hat sofort auf alles neu erlaubte Zugriff.
Die Berechtigungen für die persönlichen Ordner den entsprechenden Kindern vergeben, damit diese keine evtl. auch nicht altersgerechte Inhalte der Geschwister erreichen können.

VG Derek

 

[blurrrr]

und keineswegs "sauber" .

Wenn Du so schlau bist (oder eben auch nicht), dann sei's drum - Du kriegst das schon irgendwie hin... Bin mal raus hier.

 

[ruby]

@blurrrr: Ich halte mich keineswegs für schlauer oder vernünftiger als Dich, im Gegenteil, sonst würde ich nicht ein solches Forum nach seiner Meinung fragen. Trotzdem habe auch ich mir bei meiner (zum Teil geerbten) Struktur etwas gedacht, und sie funktioniert seit Jahren gut, und ich habe sie durchaus nicht alleine wachsen lassen, sondern daran hängen gut 20 unterschiedlichste User, jeder mit seinen eigenen Ansprüchen. Ich denke, ich habe ganz gut begründet, warum für mich meine Struktur, die keine Dubletten erzeugt, nicht weniger "sauber" ist als das Anlegen von Ordnern mit Kopien für z.B. eine vorübergehende Nutzung. Ich musste das übrigens trotzdem auch schon praktizieren, Beispiel Hörbücher: Aus einem Pool von Geschichten für alle Altersklassen habe ich anlässlich einer Reise Geschichten für die 9-Jährige in einen eigenen Ordner kopiert. Dann wurden Tags an den Dateien geändert, aber nur in einem der beiden Datensätze, und es wusste nachher keiner mehr, in welchem Ordner die aktualisierten Dateien liegen. Die wieder zusammenzuführen, war recht mühsam. Den o.g. Pool von vornherein in mehrere Altersklassen aufzuteilen (wie in Dereks Beispiel), wäre für die meisten anderen User unpraktikabel, weil die Älteren sich beim Durchsuchen jedesmal durch mehrere parallele Ordner wühlen müssten. Auch die Erwachsenen hören noch "Die drei Fragezeichen". Wie gesagt, nur ein Beispiel...

Danke, @derek, für die Übersicht.
Bei einer linearen Entwicklung "meiner" User könnte ich mir das auch gut vorstellen, aber wegen der öfter wechselnden Bedingungen (temporär gemeinsame Projekte, Tausch oder Weitergabe von Geräten in verschiedenen Altersklassen etc.) wäre ich ständig am Verschieben, Kopieren und löschen, wenn sich die Voraussetzungen der User ändern (die ich auch nicht immer zutreffend vorhersagen kann - ich habe, wie gesagt, auch noch andere Fälle im Auge als die der älter werdenden Kinder). Dabei würden u.a. Doppelungen entstehen, wenn eine Datei wegen wechselweiser Bearbeitung durch unterschiedliche Nutzergruppen in verschiedenen Ordnern läge.
Ich hätte am liebsten für einen einzelnen User nach Bedarf bestimmt, welches "Haus" er betreten darf, anstatt das Haus dahin (neu) zu bauen, wo der User voraussichtlich hinläuft. Entsprechend also einen Ordner (temporär, gerne auch mit Zeitablauf) für einen User freigegeben, der dort sonst nicht hingehört, quasi als Gast. Im Ansatz bieten die Berechtigungseinstellungen auch die Möglichkeit, einen Unterordner mit einer von der Norm abweichenden Berechtigung zu versehen, die nur leider wegen der Hierarchie der darüberliegenden Ordner ignoriert wird. Hätte ja sein können, dass dafür einen Mechanismus gibt.
Ich werde mich also mit der vorhandenen Systematik abfinden, aber fändet Ihr das nicht nachvollziehbar, dass man etwa einem Gast für ein gemeinsames Projekt vorübergehend Zugriff auf eine bereits bestehende Struktur geben möchte, die nach Abschluss seines Projektanteils von den Übrigen weitergeführt wird?
Sei es drum - dann werde ich vorläufig bei meinem Konzept bleiben und alle Ordner für den jeweiligen User sperren, auf die er nicht zugreifen soll. Und wenn er mal Zugriff bekommen soll, wird der gezielt freigegeben. Hat jetzt ein paar Jahre ganz gut funktioniert, und ich habe keine Dubletten in verschiedenen Ordnern. Ich muss nur aufpassen, dass ich selbst nicht beim Erstellen eines neuen Ordners die Vererbung der Zugriffsrechte übersehe.

Wenn ich aber mein Netzwerk mal privat und beruflich umbauen muss, werde ich an Eure Worte denken! Vielen Dank!

Gruß, ruby

 

[synfor]

Aus einem Pool von Geschichten für alle Altersklassen habe ich anlässlich einer Reise Geschichten für die 9-Jährige in einen eigenen Ordner kopiert. Dann wurden Tags an den Dateien geändert, aber nur in einem der beiden Datensätze, und es wusste nachher keiner mehr, in welchem Ordner die aktualisierten Dateien liegen.

Warum waren die nicht readonly?

 

[NSFH]

@TE: Du magst ja von dir und deiner Arbeit überzeugt sein, trotzdem hat Blurrrr Recht! Was du willst lässt sich nicht verwirklichen, weil so ACLs einfach nicht funktionieren.
Entweder du lässt dir eine durchdachte Ordner-Struktur mit zugehörigen Gruppenrechten einfallen, die du flexibel handhaben kannst oder du wurstest hier weiter rum und definitiv nie eine Lösung finden.

Hier brachte mal einer ein schönes Beispiel wie eine ACL funmktioniert:
Nimm ein Haus mit einer Eingangstür und mehreren hinterienander liegenden Türen.
Dann kannst du jedem einen Schlüssel einer beliebigen Tür geben, er wird sie nie öffnen können, solange er keinen Haustürschlüssel hat und auch nicht die Schlüssel der Türen die auf dem Weg zu seinem Raum liegen.
Heisst für den gesamten Weg im Dateisystem muss man mindestens Leserechte haben und kann dann natürlich alles sehen, was es auf dem Weg dahin zu sehen gibt. Einen Sprung zu einem Unterordner kann man nicht realisieren!
Damit dürfte deine Frage abschliessend behandelt sein.

 

[ottosykora]

Sei es drum - dann werde ich vorläufig bei meinem Konzept bleiben und alle Ordner für den jeweiligen User sperren, auf die er nicht zugreifen soll.

also für den jeweiligen User... ist schon mal falsch. Sinnvoll ist eine feste Struktur aus Gruppen. Und nur Gruppenrechte werden eingestellt.
Dann werden User einer oder mehren Gruppen zugeteilt. Sollte was geändert werden, dann wird nichts an Rechten verstellt, sondern einfach der User aus der Gruppe genommen.

Und nicht vergessen: Berechtigungen an eine Gruppe werden automatisch an die Unterordner vererbt.
Will man was fein einstellen, dann Vererbung unterbrechen und Berechtigung neu anfangen.
Für das durchlaufen zum Zielordner genügt die Gruppe users.