UCS 4.0 Freigaben file owner

german

#1

Hallo,
hab mal eine Frage zu den ACLs von Freigaben. Wir haben mehrere Samba Shares auf unserem UCS eingerichtet und per Windows ACLs für die jeweiligen Gruppen angepasst.
Klappt alles auch wunderbar, jedoch ist der File Owner jeder Datei, egal wer diese Datei erstellt, reinkopiert oder bearbeitet immer root.
Das heißt, dass zum Beispiel auch Dokument- Änderungen nicht nachvollziehbar sind, da dort entweder root oder Author gesetzt wird.
Wenn ich eine Freigabe über UCS nur per Webinterface erstelle klappt das noch, jedoch nicht mehr wenn ich per Windows die ACL`s setze.
Gibt es die Möglichkeit im nachhinein die Freigabe so zu ändern, dass in Zukunft immer der bearbeitende/erstellende User als File-Owner gesetzt wird?

Im Anhang mal eine Übersicht wie es bei uns aufgebaut ist.

  • Domain Admins haben auf alle Freigaben volle Berechtigung
  • eine Gruppe für read-only RO
  • eine Gruppe für read-write RW
  • eine Abteilungsgruppe passend zur Freigabe
  • RO und RW beinhaltet User die nicht zur Abteilung gehören, aber entsprechende Rechte brauchen

So ist jede Freigabe bei uns aufgebaut und auch bei jeder ist der File Owner immer Root und wie ich schon gesagt habe sollte das immer der User sein, der sie zuletzt “geändert” hat.
Da wir rein aus einer Linux Welt mit POSIX Rechten kommen, ist es für uns nicht so einfach die Windows Welt in hinsicht der ACL`s zu verstehen.
Ich hoffe ich konnte mich soweit richtig ausdrücken :slight_smile:
Vielleich hat jemand eine passende Idee dazu.


#2

ich wüsste spontan nicht, wie das geht - damit ein Benutzer selbstständig Eigentümer einer Datei wird, müsste er aber vermutlich auch unter Windows schon vorher Vollzugriff auf die Datei haben, oder? Damit kenne ich mich aber auch nicht so gut aus…


#3

Selbst wenn ich (Benutzer in Grp IT) eine neue Datei erstelle, ist jedoch der Inhaber root und nicht mein Benutzer…


#4

Hallo,

mir wäre im Moment auch kein Weg bekannt, wie man nach einer Änderung die Besitzrechte einer Datei automatisch übernehmen könnte.

Hier sollte man evtl. auch den folgenden Hinweis aus dem Kapitel Zugriffsrechte auf Daten in Freigaben des Handbuches beachten:

Standardmäßig wird meines Erachtens der Ersteller der Besitzer einer Datei, es gibt in der UMC jedoch die Möglichkeit im Reiter “Erweiterte Einstellungen” der Freigabe, den Besitzer des übergeordneten Ordners per Default zum Besitzer neu erstellter Dateien zu machen. Sie sollten prüfen ob evtl. diese Option bei Ihnen gesetzt ist.

Viele Grüße
Ulf Friedel


#5

Danke für die Antwort und sorry, dass ich erst jetzt wieder schreiben.
Haben gerade eine ERP- Einführung, daher war nicht viel Zeit.

Habe mir noch einmal die Einstellungen der Freigaben angeschaut und Standardmäßig wird als default der Wurzel festgelegt, dass Root der Besitzer des Wurzelverzeichnisse ist.

Desweiteren gibt es ja diese zwei weiteren Möglichkeiten:
Neue Dateien und Verzeichnisse erhalten den Besitzer des übergeordneten Verzeichnisses
Neue Dateien und Verzeichnisse erhalten die Zugriffsrechte des übergeordneten Verzeichnisses

Beide sind bei uns nicht angehakt, selbst wenn würde ja wieder Root der Besitzer sein, da dies ja als Default festgelegt wurde in der Wurzel …

Die ACL´s wurde über Windows festgelegt, weil ich dort die Möglichkeit hatte mehrere Gruppe unterschiedliche Rechte auf Freigaben zu verpassen.

Im Anhang mal die Freigabeeinstellungen der Wurzel. Vielleicht kann mir ja jemand mal seine zeigen, damit ich diese mal vergleichen kann.





#6

Hallo,

ich kann das leider nicht reproduzieren. Nach den Informationen hier ist Ihre Anforderung im Grunde die folgende:
Ein Share “IT”
Besitzer-Gruppe: “it”
Gruppe "it: Vollzugriff
Gruppe “Domain Admins”: Vollzugriff
Gruppe “PT-IT-RW”: Schreibender-Zugriff
Gruppe “PT-IT-RO”: Lesender-Zugriff

Das habe ich in meiner Testumgebung wie folgt eingerichtet:


Weitere Anpassungen habe ich an den Dialogen in der UMC nicht vorgenommen.
Die ACLs habe ich, wie Sie, als Domain Admin über die Windows Dialoge gesetzt:

Das führt dann zu folgenden ACLs im Dateisystem:

[code]# getfacl /data/shares/it
getfacl: Entferne führende ‘/’ von absoluten Pfadnamen

file: data/shares/it

owner: root

group: it

flags: -s-

user::rwx
user:root:rwx
group::rwx
group:Domain\040Admins:rwx
group:it:rwx
group:PT-IT-RW:rwx
group:PT-IT-RO:r-x
mask::rwx
other::r-x
default:user::rwx
default:user:root:rwx
default:group::rwx
default:group:Domain\040Admins:rwx
default:group:it:rwx
default:group:PT-IT-RW:rwx
default:group:PT-IT-RO:r-x
default:mask::rwx
default:other::—[/code]

Lege ich nun als Benutzer (tim, Mitglied der Gruppe “it” eine Datei an, erhält diese die folgenden Berechtigungen:

Als ACLs:

[code]# getfacl /data/shares/it/datei_1.txt
getfacl: Entferne führende ‘/’ von absoluten Pfadnamen

file: data/shares/it/datei_1.txt

owner: tim

group: it

user::rwx
user:tim:rwx
group::rwx
group:Domain\040Admins:rwx
group:it:rwx
group:PT-IT-RW:rwx
group:PT-IT-RO:r-x
mask::rwx
other::—[/code]

Meine Testumgebung besteht aus einem UCS (4.0-1) DC-Master mit Samba 4 sowie einem Windows 7 Client. Evtl. können Sie einmal prüfen ob das, wenn Sie einen neuen Share wie oben beschrieben anlegen, bei Ihnen auch funktioniert.

Mit freundlichen Grüßen
Janis Meybohm