ich habe eine Freigabe im UCS eingerichtet und moechte nun Berechtigungen auf einzelne Ordner und Dateien vergeben. Fuer die einfachere Handhabung nutze ich dazu Windows.
Nun tritt allerdings folgendes Problem auf:
Wenn ich als Domaenen-Administrator angemeldet bin, kann ich beliebige Berechtigungen setzen, was auch funktioniert. Melde ich mich als Benutzer an, welcher Mitglied der Gruppe Domain Admins ist und diese auch als Primaergruppe besitzt, erhalte ich nur eine Fehlermeldung “Zugriff verweigert”. Wenn ich es von der Konsole mittels setfacl versuche, bekomme ich ebenfalls die Meldung “Die Operation ist nicht erlaubt”.
Muss ich meinen Benutzer zusaetzlich in die Variable samba/adminusers eintragen um auch mit einem “normalen” Benutzer Berechtigungen zu vergeben und wenn ja, in welchem Format muessen hier weitere Benutzer angegeben werden (kommagetrennt, mit Leerzeichen)?
Das beobachtete Verhalten ist der Standard unter UNIX. Hier dürfen nur die Besitzer einer Datei bzw. eines Verzeichnisses die Berechtigungen verändern. Aus diesem Grund funktioniert das setfacl auch nicht. In den Voreinstellungen bildet auch Samba das selbe Konzept ab, d.h. Sie dürfen die Berechtigungen nur als Besitzer der Datei bzw. des Verzeichnisses anpassen. Um dieses Verhalten für eine Freigabe anzupassen bietet Samba die Option ‘dos filemode’. Wird diese auf ‘yes’ gesetzt können auch Gruppenmitglieder Berechtigungen verändern, wenn Sie Schreibrechte besitzen. Momentan wird diese Option noch nicht im Univention Directory Manager abgebildet, so dass diese manuell in die Freigaben-Konfiguration eingetragen werden müsste. Dabei ist zu bedenken, dass diese Konfiguration wieder überschrieben wird sobald die Freigabe im Univention Directory Manager bearbeitet wird.
Ich habe in unserer internen Datenbank einen Eintrag zur Unterstützung dieser Option vorgenommen, so dass wir zu einer der nächsten UCS Version eine Erweiterung diesbezüglich prüfen werden.
Diese Univention Configuration Registry-Variable ist primär dafür gedacht Benutzer zu definiere, die den Domänenbeitritt durchführen dürfen. Sie erlangen dann root-Rechte, daher sollte diese Variable als Lösung für Ihr Problem nicht verwendet werden.
