Dateiberechtigungen und Eigentümer ändern wenn Windows ACL aktiv

    Nach versehentlichem Verschieben eines Ordners mit vielen Unterordnern im Windows-Explorer (beim Klicken mit dem Touchpad ungeschickt mit dem Finger gewackelt ...) und der vermutlich falschen Reaktion, den Verschiebeprozess im Explorer abzubrechen und den Ordner in der File Station statt im Explorer zurückzuschieben (auf was für dumme Ideen man halt sokommt in der Hektik eines gemachten Fehlers ...) haben jetzt einige Unterordner des hin- und herverschobenen Ordners den Eigentümer "admin" und auch nur Zugriffsrechte für ihn. Warum Windows oder QTS diese Änderung gemacht hat, verstehe ich zwar nicht. Ich hatte mich sowohl unter Windows als auch in der File Station nicht als "admin" angemeldet, sondern mit meinem eigenen Benutzernamen. Dem weiter nachzugehen halte ich aber für müßig. Ich möchte einfach nur dem kompletten Ordnerbaum wieder meinen persönlichen Benutzer als Eigentümer zuweisen.


    Preisfrage: Wie mache ich das?


    Wenn ich es im Windows Explorer versuche, hagelt es pro Ordner mit verstelltem Eigentümer Meldungen:

    Code
    "Fehler beim Aufzählen der Objekte im Container. Zugriff verweigert."


    Wenn ich mich als "admin" in QTS anmelde, in File Station die Properties des Ordners aufrufe und auf den Tab Permissions gehe, prangt da die Meldung:


    Code
    "Windows ACL is currently enabled. Please configure file and subfolder permissions from Windows Explorer."


    Wenn ich versuche mich von Windows aus als "admin" mit der Freigabe zu verbinden, bekomme ich erwartungsgemäß die Meldung, dass Windows mehrere Verbindungen zum selben Server unter verschiedenen Benutzerkennungen nicht unterstützt. (Warum eigentlich nicht? Seufz.)


    Ideen?

    Ja dann kann das passieren. Entweder oder, nicht beides.


    Wenn Du die Windows acl's verwenden möchtest, sollten die advanced folder permissions nicht aktiviert sein und umgekehrt.


    Damit die Windows acl's funktionieren musst Du zuerst die advanced folder permissions deaktivieren.
    Danach werden im Freigabeordner alle Benutzer schreibend berechtigt, die irgendwo in der Ordnerstruktur Zugriff haben sollen.
    Das kann auch über eine dedizierte Gruppe erfolgen, vorsichtshalber durchvererben.


    Ab da nur noch den Explorer verwenden und das share im security tab anschauen, da steht jetzt alles so drin, wie im Freigabeordner auf dem NAS gesetzt.

    Wenn Du dort die Benuter einzeln berechtigt hast, kannst jetzt alle, ausser Dir selbst, im security tab entfernen.
    Falls eine Gruppe verwendet wird nicht vergessen beim Entfernen der Gruppe gleichzeitig Dich selbst mit mindestens modify Rechten einzufügen.
    Sonst hast Dich wieder ausgesperrt. :)


    Jetzt kannst Du die Berechtigungen aufbauen wie gewünscht und beim Verschieben sollten auch die Berechtigungen des übergeordneten Ordners korrekt übernommen werden. Die Handhabung der Berechtigungen in der Struktur ist kongruent zu einem nativen Windows fileserver (also fast).


    Falls Du Dich doch einmal aussperrst musst Du zuerst mit

    net use * /delete


    alle Vebindungen trennen, dann kannst das share auch als admin mounten.

    Alternativ zum mount kannst Du den Benutzerkontext zuerst anmelden mit

    net use \\nasname\IPC$ /user:...... 

    Hm, das ist aber ärgerlich.

    Ich würde schon gern sowohl per SMB als auch über die File Station (und möglichst auch per NFS) auf meine Dateien zugreifen können.

    Laut QTS System Manual, Kapitel "Control Panel / Privilege Settings / Shared Folders", Abschnitt "Advanced Permissions" muss ich dazu beide Optionen setzen.

    Die Tabellenzeile "Windows ACL" (alleine, d.h. ohne "Advanced Folder Permissions") listet nur "Samba" (gemeint ist wohl SMB) als unterstütztes Protokoll.

    Wenn ich "File Station" als "Protokoll" (?) haben will, muss ich "Advanced Folder Permissions" (alleine) oder eben "Both" nehmen.

    (NFS wird in der Tabelle gar nicht erwähnt, aber der Verdacht liegt nahe, dass das bei "Windows ACL only" zusammen mit AFP, FTP und File Station dran glauben müsste.)

    Oder interpretiere ich da etwas falsch?


    Followup:


    Das akute Problem konnte ich jetzt lösen, indem ich mich per

    net use X: \\{IP-Adresse des NAS}\homes /username:admin

    über die IP-Adresse statt über den Namen mit dem NAS verband.

    So merkt Windows nicht, dass das derselbe Server ist, und unterstützt die angeblich unmögliche Verbindung unter verschiedenen Benutzernamen dann plötzlich doch. (Seufz^2)

    Auf X: konnte ich dann im Explorer die Berechtigungen problemlos korrigieren.

    Bis jetzt scheint das auch zu halten.


    Das Häkchen bei "Advanced Folder Permissions" wegzunehmen habe ich mich noch nicht getraut.

    Da wüsste ich gerne erst genauer, was ich mir damit für Folgen einhandle.

    Aus der Doku und (sorry) auch aus TrueFazer 's Erklärung werde ich da nicht ganz schlau.

    Einmal editiert, zuletzt von tgsbn () aus folgendem Grund: Verbot von Followups auf eigene Beiträge

    Nichts hindert Dich daran die filestation zu verwenden, nur nicht zum Unterordner berechtigen.

    NFS hat mit Samba nichts zu tun und setzt auf der Freigabe auf.
    Das Laufwerk konntest Du mappen, weil noch keine Anmeldung unter Deinem Windows Benutzer erfolgt ist.


    Du wirst das Problem über kurz oder lang wieder bekommen.

    Dann schalte lieber die Windows ACL's ab und vergib die Berechtigungen in der file station.

    Es funktioniert eben nicht richtig, wenn beide Opionen aktiviert sind, was im Handbuch auch so nachzulesen ist.

    Der Besitzer des Ordners ist auch nicht das Problem.
    Creator/Owner spielt bei Windows im lokalen Dateisystem eine Rolle, weil der Besitzer automatisch auch Vollzugriff hat.
    Das hast Du mit den Ordnern jetzt wieder gemacht, hat aber auf einem Netzlaufwerk keine Bedeutung zu haben.
    Dafür sind user und Gruppen da, um das durchgängig zu regeln.

    Man muss wissen was man und wie das tut, da kommt man nicht drumrum.

    Zitat von TrueFazer

    Man muss wissen was man und wie das tut, da kommt man nicht drumrum.

    Gibt es für die Einstellungen der Berechtigungen eine Empfehlung?

    Auf dem Apple werden bei Server-Freigaben (shares) Posix und ACL verwendet. In QuTS-hero werden standardmässig ACL angeboten. Schräg finde ich, dass die ACL-Berechtigungen mit einem Windows-Client erfolgen. In QTS finde ich die Einstellung über zwei Programme Systemeinstellung-Freigaben und FileStation wenig transparent.

    Ich muss dazu sagen, dass in den frühen Manuals ACL und erweiterte Berechtigungen zusammen empfohlen wurden.

    Vor ein paar Jahren hatte ich mir bei irgendwelchen Datenbewegungen auch die Berechtigungen zerschossen.
    Zu der Zeit bin ich auch auf eine sehr detaillierte Beschreibung gestossen, aber sie ist nicht mehr auffindbar.


    Aber so wild ist das erst mal nicht.


    Bei (allein) aktivierten Windows ACL gelten native Windows Dateiberechtigungen in einer Ordnerstruktur, die über eine Freigabe bereitgestellt wird.
    Ziemlich genau so, wie es auch auf der lokalen disk des Windows Clients funktioniert.

    Erstellt man darauf eine Freigabe müssen auch die Freigabeberechtigungen gesetzt werden. Damit sich die Datei acl's nicht mit den share acl's überwerfen wird die Freigabe

    für jeden mit Vollzugriff gesetzt.

    Ich verwende AD-Benutzer und -Gruppen, da schränke ich das ein auf domain users mit Vollzugriff.
    Das klingt etwas rabiat, aber es geht nicht anders. Willst Du Berechtigungen setzen über den client, dann muss der admin auch admin sein dürfen.


    Es muss also gewährleistet sein, dass jeder Benutzer der auf diesen Freigabeordner zugreifen will, Vollzugriff auf die Freigabe selbst hat.
    Engeschränkt wird der Zugriff dann über die Datei ACLs.


    Auf dem Nas würde ich jetzt nicht auf everyone zurückgreifen, sondern eine Gruppe erstellen mit allen Benutzern. Aktuelle und zukünftige.
    Zum Üben eine neue Freigabe erstellen und zum admin noch administrators und besagte Gruppe mit Vollzugriff hinzufügen.

    Der admin user mit dem Du vom client aus zugreifst, sollte in der Gruppe administrators sein.


    Ab hier geht alles über den explorer. Zuerst die Eigenschaften der Freigabe aufrufen und dort die all users gruppe entfernen, die anderen beliben drin und vererben sich durch.

    Da kommt dann wahrscheinlich eine Warnung, dass die Vererbung unterbrochen wird, dem stimmen wir freudig zu.

    Einen Unterordner erstellen und dort sind dann ebenfalls admin und administrators vererbt sichtbar.
    Hier können dann wieder einzelne Benutzer oder spezifische Gruppen hinzugefügt und ebenso spezifisch berechtigt werden.


    Wenn das eine tiefer verschachtelte Berechtigungsstruktur werden soll, dann sollte man sich hier erst mal einen Kopf machen, wie man seinen Datenhaushalt organisiert.
    Will man mit diversen Freigaben arbeiten, unterschiedlich berechtigt und dann in einem Portalordner zusammengefasst,

    oder alles in einer zentralen Freigabe und einer Stammordnerstruktur.

    Zitat von TrueFazer

    Auf dem Nas würde ich jetzt nicht auf everyone zurückgreifen

    Genau das habe ich mir auch schon gedacht, Obwohl meine Kenntnisse von WIN eher minimalistisch sind. Bin auf Macs unterwegs.

    Zitat von TrueFazer

    eine Gruppe erstellen mit allen Benutzern

    Benutze keinen WIN sondern das Web-GUI. Dein Vorschlag geht in Richtung Berechtigung von Verzeichnissen mit 770 bzw. rwxrwx--- ?

    In Filestation kann man das anzeigen lassen.


    Momentan habe ich nur einen Benutzer xyadmin und die Gruppen everyone und administrators. Der admin ist deaktiviert.

    Wenn ich einen neuen Ordner erzeuge entsteht die Berechtigung für den Benutzer xyadmin und die Gruppe everyone. Der automatisch erzeugte Snapshot-Ordner bekommt 775 mit der Gruppe administrators.Bildschirmfoto 2021-11-06 um 16.56.17.png


    Bildschirmfoto 2021-11-06 um 16.56.17.png

    Auf der Web-GUI schein das nicht zu funktionieren? Ich muss noch üben oder letztlich doch das Terminal nehmen.

    Auf dem Mac mit der Server-APP ist von Dir vorgeschriebene alles kontrollierbar!

    Warum nicht bei QTS oder habe ich was übersehen?

    Nene, wir haben von Windows ACLs gesprochen.
    Wenn Du mit der filestation nachschaust, dann siehst Du direkt die linux Berechtigungen.
    Das darfst Du nicht durcheinander schmeissen.


    Was man in einer Ordnerstruktur berechtigen kann hängt vom Dateisystem ab. Die ganzen möglichen Sicherheitsbeschreibungen für eine Datei sind im Dateisystem integriert.

    Wenn das ein Dateisystem nicht hergibt, gibt es auch keine ACL's, wie z.B. bei FAT und Derivaten.

    NTFS wurde für Windows NT entwickelt und hat deutlich mehr Attribute als bei Unix/Linux. (Daher rührt z.B. auch der unterschiedliche nach der Formatierung verfügbare Speicherplatz auf einem Datenträger her, je nach verwendetem Dateisystem).


    Damit Clients und Server kommunizieren können kommt dann noch das jeweilige Netzwerkprotokoll hinzu. Bei Windows war das zuerst cifs, dann smb und Unix verwendete NFS.

    Diese nativen Netzwerkprotokolle sind auf die jeweiligen Betriebs-/Dateisysteme abgestimmt.

    Da sind also Ressourcen auf einem Linux System, die über das Windowsnetzwerk zur Verfügung gestellt werden sollen, dazu muss das NAS smb sprechen können und dafür gibt es Samba.


    Beim file transfer werden von samba die recht pragmatisch schlank gehaltenen Attribute in die ACLs von Windows übersetzt und zurück.
    Natürlich gehen die Funktionen von samba weit über diesen geringen Zweck hinaus, schliesslich erlaubt es eine Integration in ein Active Directory.

    In einem nativen Windows Netzwerk auf einen Windows Fileserver werden Dateien incl. Sicherheitsbeschreibungen direkt in das Dateisystem hinter der Freigabe geschrieben.

    Das geht bei Linux nicht (rwd ist schlank), die ganzen win acls werden in eine Datenbank geschrieben.

    Ein Zugriff auf das Dateisystem von einem Windows Client wird auf dem NAS im admin Kontext durchgeführt und mit den jeweiligen Benutzerrechten aus dieser Datenbank maskiert.


    Das ist die umfassendste Kompatibilität zu smb, die imho möglich ist.

    Ich erinnere mich nicht mehr an die Details, aber anscheinend decken die acls bei den erweiterten Ordnerberechtigungen 4 oder 6 Attribute weniger ab, als die Windows ACLs.
    Bei bestimmten Dateioperationen kann das zu diesen Fehlern führen.


    Berechtigungen immer vom Client setzen, Dateioperationen wenn möglich auch.

    Grosse Datenmengen kann man schon in der filestation verschieben, hinterher aber die Berechtigungen vom Client aus prüfen und wenn nötig von einem übergeordneten Ordner durchvererben.


    Was ich noch sagen wollte, wenn Du bestehende Freigaben auf diese Weise umberechtigst, musst Du den Freigabeordner auf dem NAS zuerst durchvererben, bevor Du Windowsberechtigungen setzt.