xn5qk2
06.04.2019, aktualisiert um 09:59:51 Uhr
view3776
view17
0
Goto Top

Egal welcher User sich über smb (Samba) über eine Freigabe verbindet, es werden immer die Rechte des Admins herangezogen

FrageNetzwerkeNetzwerkgrundlagen
Sonnigen Samstag wünsche ich.

Ich habe hier ein Phänomen, was ich mir nicht erklären kann und deshalb eure Unterstützung benötige.
Freigaben auf Mac-Systemen funktioniert ja eigentlich immer und man kann diese als kinderleicht betrachten.
Wenn ich diese früher benutzt habe, hatte ich auch nie Schwierigkeiten damit.

Das Phänomen zeigt sich in folgender Gestalt und es ist kein Spaß, das ist wirklich so!

Ich habe zwei Macs, auf beiden läuft Mojave als Betriebssystem.
Auf Client A gibt es den User "LOKAL", der ein Admin ist.
Außerdem den User "TEST", der als Standard-User angelegt ist.
Der freigegebene Ordner enthält die folgende Rechte:
- "LOKAL" mit "Lesen & Schreiben"
- "Jeder" mit "Keine Rechte"

Der Client B hat ebenfalls den User "TEST", der auch als Standard angelegt ist.

Client B verbindet sich über smb//10.10.50.10 mit Client A.
Gibt man eine falsche User-/Kennwort-Kombination ein, wird das abgelehnt.
Verbinde ich mich mit TEST, dann sehe ich den freigegeben Order und habe alle Rechte, die auch der User "LOKAL" auf Client A besitzt.
Das ist kein Scherz, das ist so!.

Das habe ich jetzt mehrfach reproduziert. Auch mit unterschiedlichen Usern.
Gebe ich dem User LOKAL nur Leserechte, hat das auch der angemeldete User.
Entferne ich den Admin-Account, hat der User keinen Zugriff mehr.
Das ist auch dann so, wenn der User "TEST" mit Leserechten ausgestattet ist, er darf trotzdem Schreiben, solange der Admin-Account auch dort in der Freigabe enthalten ist.

Beide Clients befinden sich im selben VLAN-Netz.

Dummerweise ist es manchmal so, dass es dann wieder augenscheinlich so funktioniert wie man es erwarten würde und urplötzlich wieder nicht.
Ich verzweifele hier im Moment

PS: Ich verstehe auch nicht, warum ich unter der Anzeige "Informationen" den Benutzer als "Laden ..." angezeigt bekomme -> siehe Screenshot.
bildschirmfoto 2019-04-06 um 09.58.40
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 437824

Url: https://administrator.de/forum/egal-welcher-user-sich-ueber-smb-samba-ueber-eine-freigabe-verbindet-es-werden-immer-die-rechte-des-admins-437824.html

Ausgedruckt am: 19.02.2025 um 22:02 Uhr

17 Kommentare
Neuester Kommentar
Goto Top
139374
139374 06.04.2019 um 10:02:49 Uhr
Goto Top
Gibt es auf Client B einen Account mit dem selben Namen und Kennwort wie auf Client A?
xn5qK2
xn5qK2 06.04.2019 aktualisiert um 10:34:13 Uhr
Goto Top
Ja, wobei der auf Client B nicht angemeldet ist und auch nicht als erstes angemeldet war.
Die Vermutung hatte ich auch schon, da der LOAKL auf Client B natürlich auch Admin ist.
139374
139374 06.04.2019 aktualisiert um 10:45:23 Uhr
Goto Top
Zitat von @xn5qK2:

Die Vermutung hatte ich auch schon, da der LOAKL auf Client B natürlich auch Admin ist.
Das ist aber normal, und der muss auch nicht angemeldet sein, der MAC versucht hier im Hintergrund automatisch die höchsten Rechte für den Ordner zu bekommen und da er fündig wird hast du das geschilderte Verhalten.

Btw. MAC zu MAC warum SMB??
xn5qK2
xn5qK2 06.04.2019 um 10:43:03 Uhr
Goto Top
Okay, das teste ich jetzt einmal
xn5qK2
xn5qK2 06.04.2019 um 10:53:45 Uhr
Goto Top
Das ist leider nicht die Lösung.
Auf Client B gibt es jetzt einen "admin" und einen "test".
Nach Neustart mit "test" eingeloggt und an Client A über smb angemeldet.

Es bleibt dabei, Client A gibt dem angemeldeten User Lese & Schreibrechte.
Das sehe ich auch daran, dass ich mir auf Client B die Rechte über "Teilen & Zugriffsrechte" anzeigen lasse.
Da steht "test (ich)" mit "Lesen & Schreiben".

Und es spielt keine Rolle ob "test" auf Client A in der Freigabe steht oder nicht. Es werden immer die Rechte des Admins "Lokal" herangezogen.
139374
139374 06.04.2019 aktualisiert um 11:01:09 Uhr
Goto Top
Nö, kann ich hier nicht nachstellen. Zeig doch mal die detaillierten Freigabeeinstellungen.
Es sollte kein gleichbenannter Admin auf beiden Kisten existieren. Bitte den echten Usernamen in der Shell vergleichen !
xn5qK2
xn5qK2 06.04.2019 um 11:03:37 Uhr
Goto Top
Btw. MAC zu MAC warum SMB??

Ich habe vier VLANs, alle Clients arbeiten mit SSDs und dem neuen Betriebssystem APFS.
Das funktioniert nicht mit dem afp Protokoll.

Aber den Denkanstoß ist gut. Ich kann die SSD mal zum Testen mit HFS+ versehen und eine neue Freigabe mit afp versuchen
Pjordorf
Pjordorf 06.04.2019 um 12:43:34 Uhr
Goto Top
Hallo,

Zitat von @xn5qK2:
SSDs und dem neuen Betriebssystem APFS.
APFS ist ein Dateisystem Only. Es wird von einem Betriebssystem genutzt.
https://www.golem.de/news/apfs-in-high-sierra-10-13-im-test-apple-hat-di ...

Das funktioniert nicht mit dem afp Protokoll.
Auch Apple baut manchmal sachen die unausgefreift sind.

Gruß,
Peter
xn5qK2
xn5qK2 06.04.2019 um 13:23:23 Uhr
Goto Top
Och, sehe gerade hatte Betriebssystem geschrieben, ist natürlich quatsch.
Frage mich gerade wie dein Beitrag bei meinem Problem hilft face-smile
xn5qK2
xn5qK2 07.04.2019 um 08:05:48 Uhr
Goto Top
Das Problem ist immer noch nicht gelöst.

Ich habe diverse Umgebungen durchgespielt. Ich bin mir zu 99% sicher, das die externe SSD der Grund ist, warum es nicht funktioniert.

Solange die Daten auf dem internen Speichermedium des Macs direkt liegen, klappt die Dateifreigabe 100%ig.
Kopiere ich den Ordner, benenne diesen um, lege ihn dann auf die externe SSD und binde sie in die Dateifreigabe ein, werden die Rechte des Admins herangezogen.

Kann mir dazu ein Experte sagen, warum das so ist?

Bei der externen SSD handelt es sich um eine Samsung Portable SSD T5 mit 500GB, falls das wichtig ist.
139374
139374 07.04.2019 aktualisiert um 09:22:11 Uhr
Goto Top
Sorry kann ich hier nicht nachvollziehen, irgendwas machst du bei deinen Experimenten falsch, leider zu wenig Infos zu den Details die ich oben schon mal angefragt habe, aber von dir diesbezüglich nichts gekommen ist.
Mehr Input mehr Output!
xn5qK2
xn5qK2 07.04.2019 um 11:44:22 Uhr
Goto Top
Ich mache hier meiner Meinung nach keinen Fehler, denn die These mit den gleichen Accounts greift nicht, denn ich kann mein Problem z. B. auch mit der App FileBrowser aus dem AppStore zu 100% reproduzieren. Auch von dort kann ich mittels Samba mich mit einem Mac verbinden. Und das iPad hat u.a. keinerlei User, die ich mittels shell überprüfen müsste.


Meine Aussage hat weiterhin Bestand:
"Befindet sich der freigegebene Order auf einer externen Festplatte und diesem Ordner wurde auch ein Admin hinzugefügt, werden immer die Rechte des Admins herangezogen!!!"

Ich habe das jetzt mit zig Macbooks und iMacs kreuz & quer getestet. Es ist so, wie ich es schildere.
Jetzt könnte man sagen, dann vergebe keinem Admin die Rechte auf den Ordner.
Ja, das wäre ein Workaround, aber dann kann ich Hazel etc. nicht mehr anwenden, der hat Datei-Operationen für die Admin-Rechte notwendig sind.

Ich habe sogar auf einer externen SSD ein High Sierra installiert. Selbes Ergebnis. Ich habe drei unterschiedliche externe HDD & SSD versucht. Es führt immer zum selben Ergebnis.

Und ja, ich finde auch nichts vergleichbares im Netz.
Und ja man könnte meinen, ich erzähl hier scheiße oder habe nicht alle Tassen im Schrank.
Ist aber nicht so. Ich kann das Problem mit jeder File-App, mit jedem Mac-System ... reproduzieren.
Es ist immer dasselbe Ergebnis. Ich arbeite mit einer Checkliste.

Erst arbeite ich die Checkliste mit einem Ordner direkt auf dem Mac-System durch, danach wiederhole ich die Checkliste mit einer externe SSD. Dabei bekommt jeder Ordnername den Namen "Ordner", gefolgt von einer fortlaufenden einmaligen Nummer.
Beim ersten Versuch, wenn der Ordner auf dem System direkt liegt, klappt alles wie erwartet, beim zweiten Durchgang nicht.

Checkliste. 1. Rundgang

1. Ordner anlegen und Namen überschreiben. z. B. Ordner 22, 23, 24 ....
2. Ordner in Systemeinstellungen -> Freigaben importieren
3. User "Jeder" auf "Keine Rechte"
4. User "Staff" -> entfernen
5. Admin-User mit "Lesen & Schreiben" stehenlassen
6. Von einem anderen Client: Finder -> Gehe zu -> Mit Server verbinden -> smb:10.10.150.15
7. Login "test" mit "test
8. Zu aktivierende Volumes erscheinen zur Auswahl, Ordner 22, 23, 24 .... darf nicht angezeigt werden -> Ergebnis: wird nicht angezeigt, richtig so
9. Abbrechen
10. Zur Freigabe User "test" mit "Nur Lesen" hinzufügen
11. Wiederholung: Finder -> Gehe zu -> Mit Server verbinden -> smb:10.10.150.15
12. Login "test" mit "test
13. Zu aktivierende Volumes erscheinen zur Auswahl, Ordner 22, 23, 24 .... MUSS jetzt angezeigt werden -> Ergebnis: wird jetzt angezeigt, richtig so
14. Abbrechen

Diese Checkliste wiederhole ich danach mit einem neu angelegten Ordner auf meiner externen SSD. Schritt 8 hat jetzt aber zum Ergebnis, dass ich den Ordner angezeigt bekomme. lösche ich dann den Admin in der Freigabe und wiederhole, wird er mir nicht mehr angezeigt.

Ist das für dich ausreichend beschrieben?
Oder welche Informationen fehlen dir noch?
xn5qK2
xn5qK2 07.04.2019 um 12:21:00 Uhr
Goto Top
PS: Ich habe gerade zum Test einen neuen Ordner auf der externen SSD angelegt, aber NICHT als Administrator, sondern als Standard-User.
Dann funktioniert es.

Und was bedeutet das jetzt?
Ich kann ja nicht immer gewährleisten, mit einem Standard-User angemeldet zu sein, wenn ich in meiner Datenstruktur neue Ordner anlege.
Das kann nicht der normale Zustand sein.
139374
139374 07.04.2019 aktualisiert um 12:31:36 Uhr
Goto Top
Tja erzählen kannst du uns viel hier zählen aber Fakten und Configs Schwarz auf Weiß. Lass dir die Berechtigungen(ACLs) auf einer Konsole anzeigen dann siehst du auch richtig was Sache ist. Zusätzlich die SMB-Config in Klartext.
Traue nie einer aufgepropften GUI.

P.s. Man arbeitet niemals direkt als Admin. Sondern eleviert immer nur den jeweiligen Prozess wenn es wirklich nötig ist!! Grundregel Nr. 1, sollte man eigentlich kennen.
xn5qK2
xn5qK2 07.04.2019 um 12:42:13 Uhr
Goto Top
Ich möchte dich bitten sachlich zu bleiben. Du trägst nicht zur Lösung bei. Wenn du nur Punkte fürs Schreiben sammeln möchtest, möchte ich dich ganz nett bitten, dass in einem anderen Thread zu tun. Ich danke für dein Verständnis.
Pjordorf
Pjordorf 07.04.2019 aktualisiert um 15:25:21 Uhr
Goto Top
Hallo,

Zitat von @xn5qK2:
Frage mich gerade wie dein Beitrag bei meinem Problem hilft face-smile
Den Inhalt vom Link lesen, verstehen und auf deine erkenntnisse umsetzten. Evtl. ist ja was dran das dein Apfel was falsch hat/macht. Aber wie sehen nun deine ACLs im genauen aus?
https://www.apfelwerk.de/2017/04/smb-aus-der-hoelle/
https://developer.apple.com/library/archive/documentation/FileManagement ...
https://developer.apple.com/library/archive/documentation/Networking/Con ...
https://www.techrepublic.com/blog/apple-in-the-enterprise/introduction-t ...
https://support.apple.com/kb/PH8528?locale=en_US&viewlocale=de_DE
https://appleinsider.com/articles/13/06/11/apple-shifts-from-afp-file-sh ...
https://news.jpy.com/kbase/support-articles/2015/9/8/afp-versus-smbsamba
https://gumptiontech.co.uk/2018/01/07/macos-smb-file-sharing/
https://www.reddit.com/r/apple/comments/80x2k6/turning_off_packet_signin ...
https://support.apple.com/de-de/HT208209
https://support.apple.com/de-de/HT207520
https://discussions.apple.com/thread/1463803

Und die frage von @139374 warum du bei Mac zu Mac SMB verwendest ist auch nicht beantwortet.

Gruß,
Peter
139374
139374 07.04.2019 aktualisiert um 16:14:13 Uhr
Goto Top
Zitat von @xn5qK2:

Ich möchte dich bitten sachlich zu bleiben. Du trägst nicht zur Lösung bei. Wenn du nur Punkte fürs Schreiben sammeln möchtest, möchte ich dich ganz nett bitten, dass in einem anderen Thread zu tun. Ich danke für dein Verständnis.
Was soll man dazu sagen, Kopfschüttel. Du willst Hilfe und wenn du hier keine Fakten lieferst wie Screenshots und detaillierte ACLs aus der Konsole kann man dir nicht helfen, so ist das nun mal.
Für Admins zählen nunmal Fakten mehr als BlaBla, und die hast du uns noch immer nicht geliefert.
Wie soll man konkret helfen wenn essentielle Dinge fehlen bitte??! Denn hier geht es wie gesagt einwandfrei und wenn wir nicht wissen wie deine ACLs aussehen was soll man da bitte machen...
Sachlicher geht's nicht!

Mal wieder ein typischer Freitagsthread bei dem unsere Fragen nicht beantwortet werden und nur um den heißen Brei herum geredet wird. Da helfe ich lieber anderen die wirklich Hilfe brauchen.
FrageNetzwerkeNetzwerkgrundlagen
Mehr von xn5qK2xn5qK2IP-Adresse über Ubiquiti EdgeRouter X zufällig aus einem der drei Netzexn5qK2 - 5 Kommentarexn5qK2Sendeleistung eines UniFi AP AC Lite weiter reduzierenxn5qK2 - 19 Kommentarexn5qK2Ein paar Fragen zu meiner VLAN Infrastruktur zu Hausexn5qK2 - 5 Kommentare
Heiß diskutiert
MysticFoxDEWINDOWS 11 24H2 - Offizieller Support nur noch ab Intel Gen 11 CPUsMysticFoxDE - 40 KommentareMasterOfInternet6860 5G und 7590 (ohne AX) verbinden für Außenzugriff auf Datenträger an 7590MasterOfInternet - 38 KommentareniederrheinerOpenVPN Mikrotik Routing auf lokale Endgeräteniederrheiner - 28 KommentareTP-JetstreamVLAN Weiterleitung Routing ins InternetTP-Jetstream - 26 KommentareMysticFoxDETandberg Data GmbH - Insolvenzverfahren zum 01.01.2025 eröffnetMysticFoxDE - 25 KommentareDape95Silent Servergehäuse - HitzestauDape95 - 22 Kommentarebeck2oldschoolKeepass Vaultwarden Migration (Frage zu Sammlungen Gruppen Ordner)beck2oldschool - 19 KommentareUlli39Win2012R2 Upgrade auf Win2025Ulli39 - 18 KommentareRoterFruchtZwergVEthernet Adapter entfernenRoterFruchtZwerg - 18 KommentarePeterzOffice 2024 LTSC UpdatesPeterz - 17 KommentareN3cronomiconWin 11 24H2 - Vertrauensstellung zur Domäne verlorenN3cronomicon - 14 KommentareMatineeHoster mit schneller Anbindung an DE-CIX, Webserver mit "Container"Matinee - 14 KommentareDenoG93Brauch ich hier ein Routing?DenoG93 - 11 Kommentare