Toggle sidebar

Time Machine Backup im Firmeneinsatz

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
S

sovadm

Benutzer
Registriert
28. Dez. 2015
Beiträge
3
Reaktionspunkte
0
Punkte
0
Hallo zusammen,

wir haben uns kürzlich in der Firma eine RS18016xs+ als Backup Server angeschafft.
Ziel soll es sein für alle Mac User ein Time Machine Backup Target bereit zu stellen.

Soweit so gut.
Einen Shared Folder erstellt, als Time Machine Target unter "Mac File Services" definiert und Time Machine Backups sind nun möglich.

Nun ist das Problem das jeder Benutzer die Backups anderer Benutzer löschen oder deren Backups wiederherstellen können.
Ein schlechter Workaround wäre die Verschlüsselung für Backups (Auf den Clients) zu aktivieren. Allerdings können weiterhin noch alle Benutzer die Backups anderer Benutzer löschen in dem sie per Finder auf afp://IP.IP.IP.IP/tmb zugreifen.

Wir verwenden ein Microsoft Active Directory und ich habe die Gruppe "Domain Users" auf den Share afp://IP.IP.IP.IP/tmb berechtigt mit Lese und Schreibzugriff logischerweise.

Nun bräuchte ich eine Lösung bei der jeder Benutzer weiterhin auf dem Share afp://IP.IP.IP.IP/tmb einen Order erstellen darf, allerdings sollen andere Benutzer auf z.b. meinen Benutzer nicht zugreifen können oder diesen löschen.


Einen kleinen Schritt in die richtige Richtung brachte mich diese Änderung an den Berechtigungen der Gruppe "Domain Users":
permbbyhe.png


Ich habe also der Gruppe "Domain Users" die Berechtigung "Read permissions" entzogen.

Damit kann ein anderer User zwar weiterhin in meinen Ordner schauen, aber keine meiner Dateien mehr lesen.
Löschen oder Umbenennen meiner Dateien ist aber weiterhin möglich.

Gibt es hier eine korrekte Lösung bei der z.b. mein Backup Ordner von anderen Benutzern nicht gelesen, gelöscht umbenannt werden kann?
Klar kann man diese Lösung nach erstellen des ersten Backups manuell herstellen indem ich nur meinen Active Directory User auf den Backup Ordner berechtige, das ist allerdings keine gute Lösung da man immer Manuell nach dem ein Benutzer das erste Backup erstellt hat manuell die Berechtigungen für den Ordner verändern müsste.


Jemand eine Idee um das richtig umzusetzen?


Gruß,
sovadm
 
sovadm schrieb:
Nun ist das Problem das jeder Benutzer die Backups anderer Benutzer löschen oder deren Backups wiederherstellen können.
Zum Vergrößern anklicken....
So wie ich deinen Post verstanden habe, ist dies dein eigentliches Problem.

Ich lasse bei mir zu Hause auch mein iMac und mein MacBook TM-Backups auf meine DS machen und jedes Gerät kann nur sein eigenes Backup einsehen.

Ich habe es bei mir wie folgt eingerichtet:
- einen gemeinsamen Ordner erstellt
- in der Systemsteurerung im DSM unter Dateidienste diesen Ordner als TM-Ziel definiert
- für jedes Gerät einen eigenen Benutzer anlegen und eine Quota festlegen, damit ein Mac nicht den gesamten Speicherplatz in Beschlag nimmt
- an jedem Gerät TM konfigurieren, als Ziel das NAS auswählen und mit dem jeweiligen Benutzer mit dem NAS verbinden
 
Dennis1002 schrieb:
Ich lasse bei mir zu Hause auch mein iMac und mein MacBook TM-Backups auf meine DS machen und jedes Gerät kann nur sein eigenes Backup einsehen.

Ich habe es bei mir wie folgt eingerichtet:
- einen gemeinsamen Ordner erstellt
- in der Systemsteurerung im DSM unter Dateidienste diesen Ordner als TM-Ziel definiert
- für jedes Gerät einen eigenen Benutzer anlegen und eine Quota festlegen, damit ein Mac nicht den gesamten Speicherplatz in Beschlag nimmt
- an jedem Gerät TM konfigurieren, als Ziel das NAS auswählen und mit dem jeweiligen Benutzer mit dem NAS verbinden
Zum Vergrößern anklicken....

Hallo Dennis,

danke für deine Antwort.
Also im Grunde ist das bei mir ja exact genau so:
User1 ist in der Gruppe "Domain Users" und macht ein Backup auf die DS
User2 ist in der Gruppe "Domain Users" und macht ein Backup auf die DS

Trotzdem kann jeder User sich manuell per über den Finder -> Connect to Server -> afp://IP.IP.IP.IP/tmb
auf den Share Verbinden und alle Backups lesen oder löschen, da ja jeder User Schreib und Leserechte auf diesen Share hat.

Das sollte bei dir eigentlich auch so sein. Du hast nur keine Gruppe in der die User sind sondern hast die User seperat auf den Share berechtigt.
Oder was hast du deinen Benutzern für Berechtigungen vergeben?

Viele Grüße
 
Eine virtuelle DS für jeden Nutzer einrichten? Wenn man das automatisieren kann sollte sich der Aufwand in grenzen halten und die RS18016xs+ sollte das ja hinbekommen.
 
sovadm schrieb:
Oder was hast du deinen Benutzern für Berechtigungen vergeben?
Zum Vergrößern anklicken....
Der Benutzer, den ich bei der Einrichtung von TM angegeben habe, hat Lese- und Schreibrechte nur auf den gemeinsamen Ordner, in dem die TM-Backups liegen. Wenn ich mit dem Finder auf die gemeinsamen Ordner mit meinen Daten zugreifen, verwende ich einen anderen Benutzer, der wiederum keine Rechte für den TM-Ordner besitzt.
 
sovadm schrieb:
User1 ist in der Gruppe "Domain Users" und macht ein Backup auf die DS
User2 ist in der Gruppe "Domain Users" und macht ein Backup auf die DS
Zum Vergrößern anklicken....

Genau wie sovadm schreibt, ist TimeMachine eben Maschinen bezogen und hat mit den Usern am Mac bzw. an der DS nichts zu tun.
Du richtest für jeden Mac- Rechner einen eigenen TimeMachine User ein, der nur die Berechtigung auf das TimeMachine Verzeichnis hat. Die Mac Benutzer haben darauf keine Berechtigung und sehen das auch garnicht.
 
man kann halt auch den tm-share einfach mounten und da drin rumpfuschen… da hilft nur für jeden user einen eigenen ordner anzulegen (was wiederum mit ner DS AFAIK nur über VMs geht…)
 
jugi schrieb:
man kann halt auch den tm-share einfach mounten und da drin rumpfuschen… da hilft nur für jeden user einen eigenen ordner anzulegen (was wiederum mit ner DS AFAIK nur über VMs geht…)
Zum Vergrößern anklicken....

Genau darauf wollte ich hinaus.
Unabhängig ob ihr für den Zugriff auf andere DS Shares andere User verwendet kann immer noch jeder User mit Berechtigung auf den TM-Share über den Finder den TM-Share über afp://IP.IP.IP.IP/tmb verbinden und dann dort nach belieben agieren.

Also beleibe ich vorerst mal bei der Lösung der Gruppe "Domain Users" die Lese-Berechtigung zu entziehen.
Damit kann zumindest niemand die Inhalte anderer TM-Backups lesen. Aber dennoch löschen oder Dateien umbenennen.

Falls das zu problemen führt könnte man sich noch denken ein Script zu schreiben das 1x am Tag über die Hauptordner geht (PC-Name.sparsebundle), sich dort den Owner ausgeben lässt, die Gruppe Domain Users entfernt und nur den Owner selbst auf den Ordner, Unterordner und Files berechtigt.
 
Hello zusammen,

ich richte auch gerade mein TM auf der DS ein und stoße auf das gleiche Problem!
Ich habe zwei Macs und will, dass jeder Mac max 1TB für Timemachine verwendet.
Kein Problem! Einen extra TM-User1 und TM-User2 anlegen mit Quota. Und jetzt? Ich will ja mit meinem normalen AFP-User auch auf die DS zugreifen, der hat keine Quota und kann den TM Ordner nicht sehen. Aber mit einem Server kann ich halt auch nur mit EINEM User verbunden sein.

Eine Möglichkeit wäre vielleicht, dass ich den zweiten Netzwerk-Anschluss nutze. Dann könnte sich mein Mac über die zweite IP mit dem TM-User an der DS anmelden. Der Mac weiß dann nicht, dass es nur eine DS gibt, da er mit verschiedenen IPs zugreift...

VG!

P.S. Ach ja, Volumes will ich auch nicht anlegen. Macht mich unflexibel und was passiert, wenn ich einen dritten Mac dazu nehmen will?
 
Bei der Einrichtung von TimeMachine, gibt du die Zugangsdaten von deinem TM-User1 ein, am zweiten Mac die von TM-User2. Wenn du dich über den Finder mit deiner DS verbindest, um auf deine Daten zuzugreifen, nimmst du deinen ganz normalen Benutzer. Die Rechte vergibst du so, dass die TM-User nur auf den gemeinsamen Ordner zugreifen dürfen, in dem das TM-Backup abgelegt wird, deinem eigenen Benutzer entsprechend alle anderen Ordner.

Hier mal eine Video-Anleitung -> https://www.youtube.com/watch?v=T5VfuIpPy-M
 
Vielen Dank für den Tipp! Das scheint zu funktionieren! :-)
Obwohl ich mich quasi parallel zweimal mit dem gleichen Server verbinde. Aber die TM-Verbindung scheint wohl nicht mit einer AFP-Verbindung vergleichbar zu sein.
 
Die TM-Verbindung ist eine ganz normale AFP Verbindung.
Wie kommst du eigentlich darauf, dass es Probleme gibt, wenn man sich mehrfach mit dem gleichen Server verbindet?
 
Weil ich, nachdem ich mich mit "Server verbinden" per AFP mit meinem normalen Daten-User mit der DS verbunden hatte, ich keine zweite Verbindung mit anderem User herstellen konnte. Er hat immer gemerkt, dass ich mit diesem Server schon verbunden bin. Aber das ist halt Apple. Denk nicht so viel nach, nutze es! :-D
 
Das ist kein Apple Problem sondern ein allgemeines Authenifizierungs "Problem" bei Windows ist es mit smb genauso, dass man sich nur einmal anmelden kann (wenigstens mit dem gleichen Servernamen). Was bei einigen geht ist einmal über \\diskstation und einmal über \\IP.
 
tristanp schrieb:
Weil ich, nachdem ich mich mit "Server verbinden" per AFP mit meinem normalen Daten-User mit der DS verbunden hatte, ich keine zweite Verbindung mit anderem User herstellen konnte. Er hat immer gemerkt, dass ich mit diesem Server schon verbunden bin. Aber das ist halt Apple. Denk nicht so viel nach, nutze es! :-D
Zum Vergrößern anklicken....

Sorry aber das ist quatsch.
Für mich hier EOT.
 
Ich möchte auch das NAS als TimeCapsule-Ersatz nutzen und Backups per Time Machine darauf erstellen. Würde das ganze als Sicherheit reichen oder macht ihr von eurem NAS auch noch ein Backup wenn das NAS zu 100% nur als TimeCapsule-Ersatz genutzt wird?
 
Triple-M schrieb:
Ich möchte auch das NAS als TimeCapsule-Ersatz nutzen und Backups per Time Machine darauf erstellen. Würde das ganze als Sicherheit reichen oder macht ihr von eurem NAS auch noch ein Backup wenn das NAS zu 100% nur als TimeCapsule-Ersatz genutzt wird?
Zum Vergrößern anklicken....

Hallo Triple-M,

Mac-Experten raten dringend dazu mehrere Backup-Volumes gleichzeitig zu benutzen, weil es Bitfehler in Backups geben kann, die erst später bei evtl. Restore auffallen würden.

In deinem Fall würde ein Backup vom NAS dort evtl. enthaltene Aufzeichnungsfehler weitergeben.

Ich habe für mich folgende Lösung erarbeitet:

1a - Alle Macs (überwiegend MacBook Pro) in meiner Familie sichern per Time Machine automatisch auf eine gemeinsame DS215j.
1b - Jeder Mac hat seinen eigenen Bereich mit fester Maximalgröße, die ich über beide Daumen auf das Zweiundeinhalbfache der sicherungsrelevanten Größe der jeweiligen Hauptplatte (System und Daten) festlegte. Damit wird die automatische Versionierung den Zugriff auf zurückliegende Zeiträume von 6 bis 12 Monaten ermöglichen, je nach Änderungshäufigkeit auf der jeweiligen Hauptplatte. Ggf. auch nur rund 3 bis 6 Monate, siehe weiter unten unter 4.
1c - Die DS215j spiegelt automatisch auf die 2. Platte.

2 - Alle Macs in meiner Familie sichern per Time Machine automatisch zusätzlich auf je eine eigene externe USB-Platte. Die Platten sind in 2 Volumes partitioniert, die jeweils etwa wieder die Zweiundeinhalbfache Größe haben - wie unter 1b erklärt.

3 - Jeder Mac besitzt also zur Sicherung aller relevanten Daten folgende Redundanzen:
3a - drei Backup-Fäden, 1 mit Spiegelung auf der DS und 2 eigenständige auf der USB-Platte,
3b - über zwei voneinander unabhängige Schnittstellen,
3c - auf drei Festplatten.

4 - Zum Schutz gegen unbemerkt aufgezeichnete Bitfehler wird alle 2-3 Monate ein Backup-Faden gelöscht und dadurch ein frisches Full-Backup veranlasst.

5 - Ich fühle mich geschützt gegen Ausfall bis zu zwei Backup-Festplatten, einer Schnittstelle und seltene Bitfehler. Und das Time-Machine-Konzept gewährt mir
- stündliche Backups der letzten 24 Stunden, rotierend in den drei Fäden,
- tägliche Backups des letzten Monats,
- wöchentliche Backups aller vorherigen Monate, soweit der verfügbare Platz reicht.

Vielleicht hilft dir das weiter.

Gruß Eggard
 
Zuletzt bearbeitet:
Danke für deine Antwort, hört sich aber etwas kompliziert bzw. aufwendig an. Apple bietet ja mit der TimeCapsule auch eine Backup-Variante an, ich sehe aber keinen Hinweis o.ä. das Apple auch sagt das man auf mehreren Festplatten sichern soll. Oder sind die Festplatten in der TimeCapsule so gut das dieser Bitfehler da nicht vorkommt?
Ich nutze nun auch schon seid knapp 10 Jahren Apple-Produkte und, toi toi toi, ist noch nie etwas passiert das ich Daten rücksichern musste aber wer weiss wann ich "dran" bin...
 
Also ich habe nochmal eine Frage in Sachen Time Machine Backup. Ich möchte nun also das NAS, worauf ich per Time Machine Backups mache, mit einem 2. NAS sichern. Sollte man dies per Hyper Backup erledigen oder mit anderen Tools? Oder sollte man Time Machine so einstellen, wenn das überhaupt geht, das es abwechselnd ein Backup auf dem einen NAS speichert und dann auf dem 2. NAS?
 
Letzteres wäre exakt die empfohlene Lösung. Du trägst in Systemeinstellungen - Time Machine 2 Backup-Volumes ein und - schwupp - stündlich wechselt er zum ältesten und aktualisiert dessen Backup-File. Damit hast du als Sicherheitsmaßnahme schon zwei verschiedene Platten in zwei verschiedenen Geräten - allerdings noch im gleichen Netz.
Deshalb habe ich kein 2. NAS eingerichtet sondern eine USB-Platte am Mac für die stündliche Alternative installiert. Damit habe ich auch die 2. Schnittstelle eingerichtet, die weiter funktioniert, wenn die 1. aus irgendeinem Grund nicht aktiv ist.
Merke: Man/Fra/Kin kann mehrere Backup-Volumes eintragen. Wenn eines nicht präsent ist, nimmt TM das nächst fällige. Ich habe schon bis zu 5 Volumes beschäftigt durch zb. mehrere Partitionen/Volumes auf einer USB-Platte.

Gruß Eggard
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten