NTFS-Berechtigungen über Windows-Explorer oder NAS?

Willis · 9. Juli 2020

Hallo zusammen,

ich stelle meinen Grafikern, mit Mac OSX, ein neues QNAP-NAS zur Verfügung. Es greifen aber auch noch ein paar User mit Windows 10 auf das NAS zu. Es soll ein Ersatz für das jetzige Thecus-NAS sein.

Auf diesem werden 4 Shares erstellt. Für die Berechtigungen gibt es AD-Berechtigungsgruppen: eine mit RW-Rechten, die andere nur mit Read-Only. Mehr nicht.

Jetzt frage ich mich, wie ich die Berechtigungen verwalten soll. Nur auf dem NAS direkt, in dem ich die beiden Gruppen entsprechend definiere und nach unten einfach alles übernehme. Dies ist jetzt auch so.

Oder soll ich die Option "Windows ACL-Unterstützung aktivieren", damit ich die Berechtigungen im Windows-Explorer verwalten kann?

Ich hatte eben mit dem Thecus manchmal das Problem, dass plötzlich der eine User nicht mehr auf Dateien des anderen Users zugreifen konnte. Wie wenn plötzlich die Berechtigungen nicht mehr stimmten. Ich konnte dann die Vererbung einfach nochmals nach unten aktivieren, dann funktionierte

Wenn ich jetzt ACL noch deaktiviert habe, funktioniert bei einem Test das gegenseitige öffnen von Dateien (über Mac OSX).

Welche Variante ist da euer Meinung nach besser?

Und wenn ich dann einmal die Daten von jetzigen NAS auf das QNAP kopiere, soll ich die Berechtigungen mitkopieren (werde dies dann mit Robocopy machen)?

Vielen Dank.

Grüsse Willis

mue64 · 10. Juli 2020

Ich weiss jetzt nicht mehr mit Sicherheit. Für mich war es Gewohnheit, die Freigaben mit Windows (somit ACL) zu machen. Ausser dem Admin habe ich nur Benutzer und Gruppen aus AD.

Ich nutze unterschiedliche Berechtigungen in Unterordnern und das kann QNAP glaube ich nicht.

Ich würde die Berechtigungen neu gestalten und die bestehenden Dateien in die entprechenden Ordner mit Berechtigungen kopieren. Ausser die Berechtigungen im neuen NAS sehen gleich aus. Ansonsten eben einen sauberen Schnitt machen

chef1 · 17. Juli 2020

Zitat von Willis

Und wenn ich dann einmal die Daten von jetzigen NAS auf das QNAP kopiere, soll ich die Berechtigungen mitkopieren (werde dies dann mit Robocopy machen)?

Da die Zugriffe auf Deinem bisherigen System zu Deiner Zufriedenheit waren, ist es m.E. sinnvoll, diese mit den Berechtigungen zu kopieren. Du kannst für Dein beobachtetes Problem auch nochmal die Zugehörigkeit der Benutzer prüfen. Ferner kannst Du diese Rechtevererbung ebenfalls durchführen, soweit diese Berechtigungen Deinen Vorstellungen entsprechen.

Zitat von Willis

Für die Berechtigungen gibt es AD-Berechtigungsgruppen: eine mit RW-Rechten, die andere nur mit Read-Only. Mehr nicht.

Deine Benutzerverwaltung läuft also zentral in AD? Hast Du dann das QNAP NAS auch an AD angebunden, einschließlich dessen Benutzerverwaltung?

Willis · 21. Juli 2020

Hallo zusammen,

ich melde mich nochmals wegen dieser Sache.

Ich habe inzwischen den Server gewechselt.

Habe diese Freigaben erstellt und die erweiterten Berechtigungen auch aktiviert:

pasted-from-clipboard.png

Da ich den gleichen Hostnamen und IP verwenden wollte, musste ich das NAS nochmals aus der Domäne rausnehmen und wieder reinnehmen. Dies war wahrscheinlich keine gute Idee!

So habe ich danach die Berechtigung gegeben, mit Gruppen aus dem AD, als Beispiel bei der Freigabe "Bildarchiv":

3 AD-Gruppen, 2 lokale NAS-User/Gruppe.

pasted-from-clipboard.png

Vier AD-Gruppen haben entsprechende Zugriffe.

Der Benutzer "admin" und die Gruppe "administrators" sind Ja die vom NAS.

Habe dann das Häckchen unten gesetzt, den ich wollte das genau diese Berechtigungen gültig sind auf alle Ordner und Dateien darunter (beim Kopieren vor dem Wechsel habe ich die Berechtigungen nicht mitkopiert).

pasted-from-clipboard.png

Wenn ich mir jetzt die Berechtigung im Windows-Explorer anschaue, sehe ich diese identisch:

pasted-from-clipboard.png

Auch die lokalen User/Gruppen sind drin. Soweit ok.

Gehe ich jetzt eine Ebene tiefer und schaue mir dort die Berechtigungen an:

pasted-from-clipboard.png

Sehe ich die AD-Gruppen auch noch aber scheinbar nicht vererbt. Da müssten sie ja hellgrau sein.

Weiter unten:

pasted-from-clipboard.png

Hier sind drei unbekannte drin. Das kann ich mir auch noch erklären: vor dem Wechsel waren auch hier die lokalen User/Gruppen drin (admin, guest, administrators).

Da ich den Hostnamen wahrscheinlich gewechselt habe, sind diese jetzt unbekannt.

Aber wo sind die vererbten drei lokalen User/Gruppen von einer Ebene höher: admin, guest, administrators)?

Scheinbar funktioniert dies nicht nach unten.

Ich habe schon bemerkt, als ich den Hacken bei "Anwenden und alle bestehenden Zugriffsrechte dieses Ordners, der Dateien und Subordner ersetzen." gesetzt habe, dass bei einer Freigabe, die über 200'00 Dateien enthält dies nur Sekunden gedauert hat!?

Wie kann ich jetzt am besten Vorgehen, so dass ich am Schluss alle Berechtigungen der Freigabe zuoberst auch nach unten auf alle Ordners/Dateien habe?

Wäre es sinnvoll mal die lokalen User/Gruppen:

admin

administrators

zu entfernen und nochmals neu hinzufügen und dann das Häckchen nochmals zu setzen?

pasted-from-clipboard.png

Vielen Dank für eure Hilfe!

Ist wirklich dringend.

Grüsse Willis

FSC830 · 21. Juli 2020

Na ja, wenn man User/Gruppen aus einem AD entfernt, und diese wieder hinzufügt, dann erhalten die User/Gruppen trotzdem eine neue SID. Der Name ist unerheblich für die Berechtigung, die SID ist entscheidend.

Insofern denke ich, das Du Dir hier selbst ins Knie geschossen hast. Denn die neu hinzugefügten Gruppen und User sind nun mal aus AD Sicht nicht mehr identisch mit den vorherigen.

Gruss

Willis · 21. Juli 2020

Vielen Dank für die schnelle Antwort.

Die unbekannten SID im Windows-Explorer störe mich jetzt nicht.

Ich möchte einfach dass alle Berechtigungen vom obersten Freigabeordner, der auf dem NAS erstellt wurde, nach unten korrekt vererbt wird.

Gruss Willis

chef1 · 21. Juli 2020

Zitat von Willis

Wie kann ich jetzt am besten Vorgehen, so dass ich am Schluss alle Berechtigungen der Freigabe zuoberst auch nach unten auf alle Ordners/Dateien habe?

Welches Vorgehen am Besten ist für Dein Ziel, weiß ich nicht. Angesichts des Warnhinweises bei den Berechtigungen würde ich es mit den erweiterten Berechtigungen und ohne Windows ACL probieren. Selbst ob Du die erweiterten Berechtigungen benötigst, wenn Deine Benutzerverwaltung in AD liegt, weiß ich nicht. Ohne AD gehe ich davon aus, dass selbst erweiterte Berechtigungen nicht benötigt würden. Die von Dir gewählte Option der Anwendung der Berechtigungen auf alle Ordner und Dateien ist schon richtig. Ich sehe nur die Kollission mit dem Warnhinweis bei Aktivierung von Windows ACL, dass nach Aktivierung von Windows ACL Du eine solche Durchreichung von Rechten nicht mehr in der NAS GUI machen kannst, sondern unter Windows im Windows-Explorer.

nasferatu · 21. Juli 2020

Wenn Du die erweiterten ACLs aktivierst dann musst Du meines Wissens alles weitere über den Windows Explorer oder die entsprechenden Kommandozeilen Tools von Windows realisieren. Die Freigabe im QNAP gilt soweit ich weiß nur für den globalen Zugriff auf das Share selbst, die Unterrechte müssen eben dann für alles weitere über Windows gesetzt werden. Deswegen gibt es ja diese Warnung, wenn man die erweiterten ACLs aktiviert

Willis · 21. Juli 2020

Vielen Dank.

Ich habe noch was herausgefunden:

Wenn ich von einem Windows-System aus, im Wechsel mit einem anderen User, eine Datei erstelle, dann der andere User diese öffnet und auch wieder was speichert, funktioniert dies ohne Probleme. Kann auch auf das Register "Sicherheit" zugreifen.

Aber bei unseren zwei Grafiker, mit einem Macintosh, scheint etwas nicht zu klappen.

Ein Mac-User hat eine neue Datei erstellt (im gleichen Verzeichnis wo ich dies vorher mit Windows gemacht habe), wo nach der andere Mac-User nicht mehr zugreifen konnte!

Gehe ich vom Windows auf diese Datei, als Domain-Admin der Vollzugriff haben müsste, komme ich auch nicht ins Register "Sicherheit" rein:

pasted-from-clipboard.png

Auch über "Erweitert" sehe ich die Berechtigungen nicht!? Kann mir das nicht ganz erklären.

Ansonsten werde ich die Windows-ACL mal deaktivieren und dann die Rechte vom NAS aus nochmals nach unten vergeben.

Gruss Willis

NTFS-Berechtigungen über Windows-Explorer oder NAS?

Vulnerabilities in CUPS Affecting UNIX Systems

QNAP präsentiert QVR Recording Vault Beta, eine lizenzfreie aktive Sicherungslösung für Überwachungsaufzeichnungen

Vulnerability in Download Station

Vulnerability in QuLog Center

WOL aus dem mobilen Netz (sorry, mal wieder)

SMB hängt sich immer auf / QNAP TS-435XeU

TS253D und 2.5 GBit Switch überträgt Daten nur mit ca. 100 KByte

PC via Fritzbox-VPN mit NAS verbinden

qnap über Nord VPN

Tschüss QTS --- Ich werde künftig die Firmware von QNAP verweigern

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

Backup vom Smartphone (Android) mit FolderSync

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

Qnap & Syno – USV im Master-Slave-Mode

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur