Freigaben und Zugriffsrechte für Unterordner

    Hallo Leute,


    ich versuche gerade, eine Ordnerstruktur von meinem Windows-Server auf mein NAS umzuziehen. Dabei sollen 4 Benutzer auf unterschiedliche Ordner Zugriff haben, zT. mit Schreib-, zT. nur mit Leserechten. Unterordner, auf die sie keinen Zugriff haben, sollen sie gar nicht sehen.


    Konkretes Beispiel:

    Unterhalb des Freigabeordners kommen 3 Ebenen Unterordner, jeweils mit mehreren Ordnern drin. Auf der 4. Ebene soll Benutzer A Schreib- und Lesezugriff auf den Ordner A haben, die Ordner B - E weder sehen, noch Rechte haben.


    Unter Windows habe ich einfach dem Benutzer A die entsprechenden Rechte für Ordner A zugewiesen. Damit konnte er sich durch die Ebenen durchklicken, ohne jeweils die anderen Ordner dieser Ebenen zu sehen.


    Auf dem NAS (TS-469 U, QTS 4.3.4) geht das offenbar nicht: trotz seiner Rechte für Ordner A kommt Benutzer A nicht einmal auf die erste Unterebene. Wenn ich ihn berechtige, den Ordnerinhalt anzuzeigen, sieht er auch alle anderen Unterordner und hat auch Zugriff. Wenn ich auf diesen explizit die Berechtigungen verweigere, kommt zwar nicht rein, sieht die Ordner aber trotzdem. Für den Freigabeordner habe ich für Benutzer A Lese- und Schreibzugriff aktiviert.


    Daher meine Frage:

    was muss ich tun, dass der Zugriff so funktioniert wie unter Windows?


    Schon mal vielen Dank für Eure Hilfe!

    woerndl

    Kannste das mal irgendwie visualisieren? .. Hier sind mir zu viele (Bewusstseins) Ebenen, die ohne Bilder net viel Sinn machen

    ok, solange ein weg durch die Unterordner besteht, auf die der User zugreifen kann, sollte das klappen.


    Man kann sogar ABE einschalten und Ordner verbergen, auf die ein Nutzer keinen Zugruff hat


    Ebenso kann ABSE verwendet werden um ganze Freigaben ohne Berechtigung zu verbergen.

    Hallo dolbyman,


    leider bin ich viel zu wenig vom Fach, ich verstehe daher nicht, was Du mit ABE und ABSE meinst. Ich habe die Rechte über den Windows Explorer vergeben.


    Ich fürchte, ich bräuchte eine DAU-mäßige Anleitung, wie ich vorgehen muss ...

    pasted-from-clipboard.png

    Man kanns probieren .. kost ja nix (bei alten Geräten sind viele Sachen nur über CLI möglich (SMB Level z.B.)

    Ich überlege eh, ein neues NAS zu kaufen.


    Heißt das jetzt, dass mein Anliegen mit neuem NAS bzw. neuer Software problemlos (also ohne Shell etc) umgesetzt werden kann?

    Ich habe mit der Methode von Post 11 ABE aktivieren können. Haken dran.


    Aber jetzt kann ich aufgrund der vorgegebenen Priorisierung (Verweigerung sticht RW sticht RO) die Benutzerrechte so wie ich´s gern hätte nicht bzw. nicht sinnvoll vergeben. Und zwar:


    User 1 ist auf dem Freigabeordner mit RO eingetragen. Eine Ebene drunter gibts 10 Ordner (A - J). User 1 soll für A RW-Rechte, für B RO-Rechte und für den Rest (C - J) keine Zugriffsrechte haben.


    Bei A vergebe ich RW-Rechte und bei B muss ich nichts machen, klar soweit.


    Das Problem ist der Rest: ich muss User 1 ja die geerbten RO-Rechte nehmen, also den Zugriff verweigern. Das geht aber nur für jeden Ordner einzeln, was ungemein mühselig ist, und müsste zudem für jeden danach neu angelegten Ordner wiederholt werden. Das ist m.E. nicht praktikabel.


    Wenn ich User 1 auf Ebene des Freigabeordners keine Zugriffsrechte gebe, kann ich darunter aufgrund der Rechte-Priorität daran nichts mehr ändern.


    Hab ich was übersehen oder falsch gemacht? Ich kann mir irgendwie nicht vorstellen, dass das tatsächlich so gewollt ist ...


    Viele Grüße

    woerndl

    Zitat von woerndl

    Ich kann mir irgendwie nicht vorstellen, dass das tatsächlich so gewollt ist ...

    Naja, normalerweise hat man nicht so eine verschachtelte Rechtestruktur, sondern setzt die Ordner, die die gleichen Zugriffsrechte bekommen sollen und die du jetzt geschachtelt hast, jeweils in einer Ebene als eigene Freigabe. Also Unterordner 1a und Unterordner 2a in eine Freigabe, Unterordner 1b und Unterordner 2b in eine andere Feigabe und Unterordner a und B wieder eine eigene Freigabe.

    Du mußt bedenken, daß du in Linux einem Unterordner nicht mehr Rechte geben kannst als einem übergeordneten Ordner, da die Rechte vererbt werden. Im Unterordner kannst du nur die Rechte des übergeordneten Ordners einschränken, aber nicht erweitern.

    2b mit RO und A+B mit RW ist so also nicht möglich.


    Zitat von woerndl

    und müsste zudem für jeden danach neu angelegten Ordner wiederholt werden

    Wie meinst du das? Wenn du eine Freigabe Unterordner1a hast, dann haben alle darunter neu angelegten Unterordner die gleichen Rechte, da die Rechte ja vererbt werden.

    Freigabeordner werden ja normalerweise nach den zugestandenen Rechten erstellt, also z.B. eine Freigabe, die A lesen und schreiben soll, eine die B lesen und schreiben soll und Unterornder1a usw. brauchen dann nach deiner Zeichnung gar keine Freigabe, wenn sie für beide User unsichtbar bleiben sollen (es sie denn du hast noch weitere User, die darauf Zugriff haben sollen).

    Du solltest daher mal deine Ordnerstruktur überdenken.

    Zitat von Nordlicht000

    Du mußt bedenken, daß du in Linux einem Unterordner nicht mehr Rechte geben kannst als einem übergeordneten Ordner

    ... das ist die entscheidende Info, vielen Dank! Unter Windows geht das nämlich. Ist also Windows insoweit Linux tatsächlich überlegen - wer hätte das gedacht?


    Dann bleibt mir tatsächlich nur, die (historisch gewachsene) Ordnerstruktur zu verändern. Knurr!


    Aber herzlichen Dank an alle Helfer!

    woerndl

    Ich würde Windows in der Hinsicht nicht unbedingt als "überlegen" bezeichnen. Nur anders.

    Es hat Vor- und Nachteile.

    Bei Linux-SMB-Freigaben kann man auch die Windows-ACLs verwenden (damit wäre es durchaus möglich, einem übergeordneten Ordner Rechte weg zu nehmen und beim untergeordneten Rechner die Rechte zu lassen), allerdings ist das unpraktisch und manchmal recht hakelig. Aber ich glaube nicht daß QNAP das kann. Der Normalfall ist wirklich pro Rechtegruppe eine Freigabe.


    Bei den Rechten mußt du auch unterscheiden zwischen den Linux-Zugriffsrechten und den Samba-Zugriffsrechten.

    Die Linux-Zugriffsrechte werden auf Ordner/Dateiebene mit dem Kommandozeilenbefehl chmod gesetzt. Damit du auf Samba-Freigaben zugreifen kannst, müssen die passenden Linux-Zugriffsechte gesetzt sein. Dort können aber durchaus höhere Rechte gesetzt sein als bei den Samba-Freigaben, d.h. die Linix-Rechte kannst du ruhig für die User und Gruppen auf rw setzen.

    Wenn du die Samba-Rechte dann bei bestimmten Freigaben einschränkst, können deine User trotzdem nicht auf die Ordner zugreifen, obwohl sie die Linuxrechte rw dort besitzen. Du darfst sie dann allerdings nicht per ssh auf deine QNAP gelangen lassen, sondern ausschließlich per Samba-Freigabe. Die Samba-Rechte werden in der smb.conf definiert.

    So kann man das auf einen normalen Linux-Fileserver recht fein konfigurieren. Bei QNAP ist mal allerdings auf die GUI-Einstellungen für die Freigaben angewiesen (was wohl Samba-Zugriffsrechte sind und nicht Linux-Zugriffsrechte). Per SSH will man da auch gar nicht editieren (besonders wenn man normalerweise Linux nicht gewohnt ist kann man da viel kaputt machen), zumal einige Einstellungen bei QNAP einen Reboot nicht überleben.