Windows-Zugriffsrechte einstellen funktioniert nicht

    Ich habe ein massives Problem mit der Vergabe von Zugriffsrechten auf meinen Freigaben.

    TS-228A, QTS 4.3.6-1070, zwei benannte Benutzer (meine Frau und ich), den Admin-Benutzer nutze ich nur zur GUI-Anmeldung.

    Unter Shared Folders - Advanced Permissions sind die beiden Optionen "Enable Advanced Folder Permissions" und "Enable Windows ACL support" aktiviert,Immer wieder stelle ich fest, dass Ordner und Dateien, die ich auf einer unserer gemeinsamen Freigaben anlege, für meine Frau nicht zugänglich sind.

    Schon das ist unschön - offenbar funktioniert da die Rechtevererbung nicht.


    Echt ätzend wird es aber, wenn ich das dann zu korrigieren versuche.

    Laut Hinweis in der File Station (Screenshot 1) soll ich das ja über den Windows Explorer machen.

    Screenshot1.jpg

    Wenn ich das aber versuche, kriege ich eine endlose Kaskade von Fehlermeldungen "Zugriff verweigert". (Screenshot 2)

    Screenshot2.png

    In den Meldungen tauchen Ordner auf, die ich nicht angelegt habe und deren Namen mit einem @-Zeichen beginnen, wie "@Recently-Snapshot" und "@Recycle".

    Wenn ich das "Weiter"-Klicken dann nach dem hundertfünfundsiebzigsten Mal irgendwann leid bin und "Abbrechen" klicke, meldet Windows, dies würde einen inkonsistenten Zustand hinterlassen und ich solle die Rechte schnellstmöglich neu setzen.


    Versuche ich stattdessen entgegen der Warnung aus Screenshot 1, die Rechte in der File Station zu setzen, setzt er sie immer nur genau auf dem Element (Ordner oder Datei), deren Eigenschaften ich öffne.

    Weder Vererbung noch rekursives Setzen der Rechte auf dem kompletten Inhalt eines Ordners werden angeboten.


    Was tun?


    Edit: Screenshots waren nicht mitgekommen.

    Die @-Ordner sind Systemordner, da kannst Du aktiv die Rechte nicht beeinflussen. Bei der Windows ACL darfst Du wirklich nur Deine selbst erstellten Ordner mit Rechten versehen. Und natürlich alle Unterordner. Auf Root-Ebene wird das wohl auf diese Weise immer scheitern. Die Snapshot Ordner sind einzig und allein dazu da, lesend auf ältere Snapshots zuzugreifen. Es wäre wahrscheinlich kein Verlust, diese einfach auszublenden, dazu gibt es beim NAS eine Option. Du hast ja die Windows-Versionshistorie, was dasselbe in anderer Form ist. Da kannst Du auch auf die Snapshots über den "Versions" Reiter des Explorers zugreifen. Insofern würde das in dem Fall vermutlich einige Probleme vermeiden helfen.


    Die Frage wäre bei so wenigen Benutzern, ob Du nicht mir einer separaten Freigabe schneller und einfacher zum Ziel kommst. Die Windows ACL sind ja wirklich nur bei sehr feingranularen Rechten von Vorteil. Und das ist ja üblicherweise erst der Fall, wenn die Zahl der Benutzer wie bspw. in einer Firma steigt, wo dann der Praktikant nur in einem Ordner lesen können soll etc.

    Also ich würde da nicht unterscheiden. Ausser du willst Ordner haben, wo nur du oder deine Frau zugreifen kann. Da du der Admin bist hiesse das, dass du Ordner willst wo deine Frau nicht zugreifen kann.


    Vielleicht macht es auch Sinn nur auf Freigabeordnerebene zu arbeiten. Und darin gibt es keine unterschiedlichen Zugriffsrechte in Unterordnern. Im weiteren würde ich nur Zugriffe für ganze Ordner festlegen und nicht für einzelne Dateien.


    Wenn du das NAS dann über Netzwerkverbindungen mit deinem PC verbindest, kannst da den Zugriff steuern.

    Einmal editiert, zuletzt von mue64 ()

    Vielen Dank für die Antworten. So ganz verstehe ich aber leider noch nicht, wie ich jetzt aus dem Problem rauskomme.

    Zitat von nasferatu

    Die @-Ordner sind Systemordner, da kannst Du aktiv die Rechte nicht beeinflussen. Bei der Windows ACL darfst Du wirklich nur Deine selbst erstellten Ordner mit Rechten versehen. Und natürlich alle Unterordner. Auf Root-Ebene wird das wohl auf diese Weise immer scheitern. Die Snapshot Ordner sind einzig und allein dazu da, lesend auf ältere Snapshots zuzugreifen. Es wäre wahrscheinlich kein Verlust, diese einfach auszublenden, dazu gibt es beim NAS eine Option. Du hast ja die Windows-Versionshistorie, was dasselbe in anderer Form ist. Da kannst Du auch auf die Snapshots über den "Versions" Reiter des Explorers zugreifen. Insofern würde das in dem Fall vermutlich einige Probleme vermeiden helfen.

    Dass das Systemordner sind, war mir irgendwie klar. Die Rechte darauf will ich auch gar nicht beeinflussen, mich interessieren nur die Rechte auf den Ordnern, die wir selber anlegen. Aber wie erreiche ich das? Diese Option, die Systemordner auszublenden, konnte ich bis jetzt nicht finden. Hast Du da einen Tipp, wo ich suchen soll?

    Zitat von mue64

    Also ich würde da nicht unterscheiden. Ausser du willst Ordner haben, wo nur du oder deine Frau zugreifen kann. Da du der Admin bist hiesse das, dass du Ordner willst wo deine Frau nicht zugreifen kann.

    Die Idee war tatsächlich, dass wir beide auch Ordner haben sollten, in denen der/die andere nicht reinschauen kann. Aber wenn ich "nicht unterscheiden" will - wie mache ich das? Genau das Zuweisen von Rechten schlägt ja fehl.

    Zitat von mue64

    Vielleicht macht es auch Sinn nur auf Freigabeordnerebene zu arbeiten. Und darin gibt es keine unterschiedlichen Zugriffsrechte in Unterordnern. Im weiteren würde ich nur Zugriffe für ganze Ordner festlegen und nicht für einzelne Dateien.

    Genau das war mein Plan, und genau das ist, was nicht funktioniert.

    Zitat von mue64

    Wenn du das NAS dann über Netzwerkverbindungen mit deinem PC verbindest, kannst da den Zugriff steuern.

    Kannst Du das ein bisschen näher ausführen? Das ist ja genau das was ich versucht habe, aber offensichtlich mache ich irgendetwas falsch.

    Zitat von tgsbn

    Genau das war mein Plan, und genau das ist, was nicht funktioniert.

    Naja, ich würde denken, dass folgendes gehen müsste:

    Code
     * Freigabe <- Hier KEINE Rechte setzen!
    * @Recycle 
    * @Snapshots
    * OrdnerA <- Rechte hier oder in Unterordnern setzen mit dem Windows Explorer 
       * ...    
    * Ordner B <- Rechte hier oder in Unterordnern setzen mit dem Windows Explorer 
      * ...



    Ich habe Dich so verstanden, dass Du die Rechte auf der Wurzelebene vergeben wolltest. Dass das schiefgeht, weil man rekursiv unweigerlich an den @.. Ordnern vorbeikommt ist klar. Die einzelnen Unterordner müssten aber gehen. Auf Wurzelebene sprich Freigabe müsstest aber ihr beide Vollzugriff haben. Darunter müssten dann die erweiterten ACL Rechte greifen. Wenns gar nicht anders geht wäre die andere Variante schlicht, getrennte Freigaben für jeden einzurichten. Das ist zumindest bei so wenig Nutzern über die QNAP Oberfläche besser zu administrieren.

    Zitat von nasferatu

    Ich habe Dich so verstanden, dass Du die Rechte auf der Wurzelebene vergeben wolltest.

    Ja, das war mein Plan.


    Zitat von nasferatu

    Dass das schiefgeht, weil man rekursiv unweigerlich an den @.. Ordnern vorbeikommt ist klar.

    Nun ja, klar ist relativ. Man hätte sich schon vorstellen können, dass das System mit seinen eigenen Systemordnern vernünftig umgehen kann und sie z.B. bei solchen Operationen automatisch ausspart. Da hatte ich wohl zu hohe Erwartungen.


    Zitat von nasferatu

    Die einzelnen Unterordner müssten aber gehen.

    Ja, das klappt. Danke. Man muss nur aufpassen, dass man sich nicht selber den Vollzugriff wegnimmt. Sonst lässt einen das QNAP nichts mehr machen. BTDT - zum Glück hatte ich noch den Admin-User.

    Zitat von nasferatu

    Auf Wurzelebene sprich Freigabe müsstest aber ihr beide Vollzugriff haben.

    Nicht notwendig. Auf einer meiner Freigaben habe ich Vollzugriff für mich und Nur Lesen für meine Frau eingestellt. Das klappt schon. Ich darf nur nicht versuchen, das in einem Rutsch durchzuvererben. Erst die Wurzelebene ohne Vererbung, dann die Ordner der ersten Ebene einzeln mit Vererbung, so hat's jetzt funktioniert.

    Zitat von nasferatu

    Wenns gar nicht anders geht wäre die andere Variante schlicht, getrennte Freigaben für jeden einzurichten. Das ist zumindest bei so wenig Nutzern über die QNAP Oberfläche besser zu administrieren.

    Genau diese Variante habe ich implementiert. Es hakte nur halt dabei, die Rechte tatsächlich so einzustellen.


    Ich denke, wenn ich von Anfang an nur eine einzige Freigabe eingerichtet und das, was ich jetzt als einzelne Freigaben eingerichtet habe, zu Unterordnern darin gemacht hätte, wäre ich nie auf das Problem gestoßen. Aber jetzt werde ich das nicht mehr umstellen.


    Danke nochmal für die Hilfe!

    Zitat von tgsbn

    dass das System mit seinen eigenen Systemordnern vernünftig umgehen kann und sie z.B. bei solchen Operationen automatisch ausspart. Da hatte ich wohl zu hohe Erwartungen.

    Naja, das ist technisch nicht so leicht wie es sich anhört. Denn der Windowsexplorer weiß ja nix von speziellen Systemordnern des QNAP. Der sieht halt nur Ordner und versucht dann Rechte zu setzen in abhängigkeit der eigenen Berechtigung im momentanen Nutzerkontext. Das kann schnell sehr verworren werden, egal ob man das mit Windows oder anderen Systemen macht. Rechtevergabe ist mitunter das komplexeste, was man als Admin so machen muss. Da kann man sich schon mit Kleinigkeiten hintenrum Riesenlöcher in sein ausgefeiltes Sicherheitskonzept reißen...aber freut mich, wenn ich Dir helfen konnte.