Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Nicht passende Rechte auf Samba-Freigab

Mitglied: diwaffm

diwaffm (Level 2) - Jetzt verbinden

23.08.2017 um 16:31 Uhr, 1523 Aufrufe, 9 Kommentare

Hi Leute,

ich habe hier einen openSUSE Server auf dem ein Samba läuft.
Auf die Freigaben dieses Samba greifen 10 Win7 Rechner (bzw. deren Nutzer) zu.

Auf die meisten Verzeichnisse am Server haben alle Nutzer Zugriff. Dazu sind sie der Gruppe FIRMA zugeordnet.
Die Gruppe FIRMA hat auf diesen Verzeichnissen volle Rechte.

Nun habe ich EINEN Nutzer, bei dem sich AB UND ZU die Rechte von Dateien ändern.
Das betrifft sowohl Dateien, die dieser Nutzer selbst erstellt hat als auch (im geringeren Ausmaß) auf solche, die er nur geöffnet und gesichert hat.

Das Problem äußert sich immer so, dass Besitzer und Gruppe der entsprechende Datei auf "root" steht.

So konnte der Nutzer heute in Excel eine Datei bearbeiten und als PDF speichern und dieses PDF dann auch an eine Mail anhängen.
Am Nachmittag waren dann aber die Zugriffsrechte sowohl der Excel- als auch der PDF-Datei geändert, so dass er keinen Zugriff mehr hatte...

Das betrifft ausschließlich diesen einen Nutzer.
Ich sehe aber keinen Unterschied in den Nutzereigenschaften. Weder in Samba, noch unter Linux...

Any Ideas?

Ciao

dirk
Mitglied: Snowman25
23.08.2017 um 17:42 Uhr
Zitat von diwaffm:

Hi Leute,
Hallo diwaffm,

Nun habe ich EINEN Nutzer, bei dem sich AB UND ZU die Rechte von Dateien ändern.
Das betrifft sowohl Dateien, die dieser Nutzer selbst erstellt hat als auch (im geringeren Ausmaß) auf solche, die er nur geöffnet und gesichert hat.
Das Problem äußert sich immer so, dass Besitzer und Gruppe der entsprechende Datei auf "root" steht.
Aha. Da würde ich gleich mal in /etc/samba/smb.conf folgende Parameter überprüfen:
  • force group
  • force create mode
  • create mask

Ciao
dirk

Gruß,
Snowman25
Bitte warten ..
Mitglied: fredmy
23.08.2017, aktualisiert 24.08.2017
Hallo,
ans SetGroupID-Bit gedacht ? Bei der Verzeichniserstellung (?)

wenn du @Snowman s Überprüfungen machst.
Hmm ... und warum werkelt "root" da mit rum ?

Bei mehreren Einheiten hat es sich auch als klug herausgestellt, dass alle Gruppen (+ GID) immer unique sind!

Fred
Bitte warten ..
Mitglied: Snowman25
24.08.2017 um 10:26 Uhr
Bei mehreren Einheiten hat es sich auch als klug herausgestellt, dass alle Gruppen (+ GID) immer unique sind!
Das sollte bei Win7 Clients und einem Unix-Server kein Problem darstellen, da Windows 128-bit GUIDs verwendet, wohingegen Unix 16-bit UID + GIDs verwendet.
Wenn allerdings die gleichen Gruppen über mehrere Server verfügbar sein sollen, empfiehlt sich die Verwendung eines LDAP-Servers, der diese verwaltet.
Bitte warten ..
Mitglied: diwaffm
25.08.2017 um 18:02 Uhr
Es gibt nur einen Linux-Server...
Bitte warten ..
Mitglied: diwaffm
25.08.2017 um 18:03 Uhr
OK, muss ich schauen. Ich meine, da sei nichts gesetzt.

Warum ist das dann bei 9 Usern kein Problem und bei dem einen schon?
Bitte warten ..
Mitglied: diwaffm
25.08.2017 um 18:06 Uhr
Der Samba wurde am Server als "root" installiert?
Das wäre die einzige Verbindung zu "root", die mir einfällt...

Die Verzeichnisse wurde alle von (verschiedenen) Windows Rechnern aus erstellt. Probleme gibt es nur bei Dateien eines Nutzers...

Was meinst Du mit "mehreren Einheiten"? Meherere Server? Ist hier nicht der Fall...

ciao

dirk
Bitte warten ..
Mitglied: fredmy
26.08.2017 um 10:35 Uhr
Zitat von diwaffm:

Der Samba wurde am Server als "root" installiert?
Das wäre die einzige Verbindung zu "root", die mir einfällt...

Die Verzeichnisse wurde alle von (verschiedenen) Windows Rechnern aus erstellt. Probleme gibt es nur bei Dateien eines Nutzers...

Und dieser Nutz hat identische Usereinstellungen wie alle anderen ?
(speziell bei Groups)

Was meinst Du mit "mehreren Einheiten"? Mehrere Server? Ist hier nicht der Fall...
Wenn du das FIRMA so betonst, muss es ausserhalb FIRMA noch eine andere Struktur geben - legt zumindest der Text nahe.

Vermutlich hat dein "unbekannter User" [warum benennst du die nicht ? userA, userB usw.] andere Einstellungen ( z.B. -g und -G ) , ein fehlendes GUID-Bit tut dann das übrige; zumal es unter Samba 2 Abhänigigkeiten zu beachten gibt!
Einmal das (unixoide)Dateisystem und zum anderen das "Samba-Filesystem", also die Abbildung von DOS/Win Rechten auf Unix. Beide Zugriffsmechanismen[Samba, Unix] "leben" unabhänig voneinander!
Das muss zueinander passen, und IIRR war da auch was mit dem recursiv-Flag beim Setzen.

Sollte bei nur einer Maschine einfach sein.

Fred
Bitte warten ..
Mitglied: diwaffm
18.10.2017 um 11:07 Uhr
Zitat von fredmy:
Und dieser Nutz hat identische Usereinstellungen wie alle anderen ?
(speziell bei Groups)

Ja, er hat eine zusätzliche Gruppenmitgliedschaft, die aber 2 von den anderen 9 Usern (ohne Probleme) auch haben.


Was meinst Du mit "mehreren Einheiten"? Mehrere Server? Ist hier nicht der Fall...
Wenn du das FIRMA so betonst, muss es ausserhalb FIRMA noch eine andere Struktur geben - legt zumindest der Text nahe.

Nein, FIRMA ist die Gruppe, in der alle Nutzer Mitglied sind.
Alle für alle zugänglichen Verzeichnisse "gehören" der Gruppe FIRMA. Die darin liegenden Dateien gehören dann dem User NUTZER und der Gruppe FIRMA.

Vermutlich hat dein "unbekannter User" [warum benennst du die nicht ? userA, userB usw.] andere Einstellungen ( z.B. -g und -G ) , ein fehlendes GUID-Bit tut dann das übrige; zumal es unter Samba 2 Abhänigigkeiten zu beachten gibt!

In den Benutzer-Eigenschaften, sehe ich zwischen dem betroffenen Nutzer (meinetwegen "userA") und den anderen keinen Unterschied.
Die Reihenfolge der Gruppenzuordnungen in YAST sollte ja keine Rolle spielen, oder?
Die 3 User mit komplett identischen Gruppenzuordnungen sind alle zeitgleich erstellt worden und wurden nachträglich auch nicht verändert..
Bitte warten ..
Mitglied: fredmy
18.10.2017 um 20:23 Uhr

Ja, er hat eine zusätzliche Gruppenmitgliedschaft, die aber 2 von den anderen 9 Usern (ohne Probleme) auch haben.

Primäre oder Memberzugehörigkeit ?


....

Nein, FIRMA ist die Gruppe, in der alle Nutzer Mitglied sind.
Alle für alle zugänglichen Verzeichnisse "gehören" der Gruppe FIRMA. Die darin liegenden Dateien gehören dann dem User NUTZER und der Gruppe FIRMA.

nach meinen "Übungen" sollten sie keinem Nutzer gehören... SUID Bit verwenden !

Die Reihenfolge der Gruppenzuordnungen in YAST sollte ja keine Rolle spielen, oder?
na ja... Files werden IIRR mit den primären Einstellungen erzeugt
[ user1, gruppe: root, users] ist was anders als [user1, gruppe: users, root]
zumindest solange du in den Verzeichnissen nicht eine bestimmte Zuordnung erzwingst (dafür gibts SUID und GUID )

Nichtbeachten von FORCE-Regeln in der smc.conf und Gruppenreihenfolge der Usererzeugung haben mich anfanggs auch etwas ins Schleudern gebracht.
Rahmen: 8 Standorte mit localen SMB-Maschinen, bei denen einige Verzeichnisse gesynct wurden bzw. auf andere Standorte zugegriffen wurde. Bei (anfangs) 2Mbits aDSL (= 180kBits upload) machten Direktzugriffe "keinen Spass" auf entfernte Standorte und da > 90% der Daten eh nur local bearbeitet wurden war es erträglich wenn bei entfernten Zugriffen Geduld angesagt war, zumal es eh nur aller paar Wochen vorkam!


Die 3 User mit komplett identischen Gruppenzuordnungen sind alle zeitgleich erstellt worden und wurden nachträglich auch nicht verändert..

wenn sie identisch eingerichtet sind, verhalten sie sich identisch. An der Stelle halte ich nicht viel von Yast
Einrichten mittels Kommandozeile und mit den numerischen IDs - die Übersetzung zu den Namen darf gern später bei der Anzeige (z.B. ls ) stattfinden wobei IIRR die Reihenfolge bei den Gruppen, wo man Member ist glaube ich egal war.

Natürlich müssen die Verzeichnisse auch die gesetzten Rechte korrekt vererben (wichtig für Copy)

Fred
Bitte warten ..
Ähnliche Inhalte
Windows Server
Recht Administrator
gelöst Frage von rudeboyWindows Server8 Kommentare

Hi! Kann mir jemand sagen wie ich das deuten soll? NTFS-Berechtigung Vollzugriff für den Admin aber trotzdem rot ausgekreuzt? ...

Samba

Samba 4.1 DC: Erstellern von Dateien das Recht entziehen, Zugriffsrechte zu ändern

gelöst Frage von retrogradSamba3 Kommentare

Guten Tag, ich habe hier erstmalig und unerfahren einen Samba 4.1 als DC aufgesetzt und ein paar Testuser und ...

Entwicklung

Script basierte Mail an Benutzer passend zum Computernamen

gelöst Frage von coma11Entwicklung6 Kommentare

Hallo zusammen, ich brauche eure Hilfe bei der Erstellung eines Powershell-Scripts. Ein Teil davon soll es sein, dass jeder ...

Windows Server

Recht - Ordner Löschen verweigern - wird ignoriert

Frage von Der-PhilWindows Server7 Kommentare

Hallo! Ich möchte gerade folgendes umsetzen: Ordner c:\TEST\Subfolder auf einem Windows 2016 Server soll nicht gelöscht werden können. > ...

Neue Wissensbeiträge
E-Mail

Newsletter: Unread News - IT News in Byte Länge

Tipp von franktaylor vor 11 StundenE-Mail7 Kommentare

Hallo, würde gerne auf einen Newsletter hinweisen, den ich heute per Zufall gefunden und mit euch gerne teilen möchte: ...

Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 23 StundenOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Google Android

Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 1 TagGoogle Android8 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 2 TagenWindows 74 Kommentare

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Heiß diskutierte Inhalte
DNS
DNS fragt falsche ip zuerst ab
gelöst Frage von recoldDNS23 Kommentare

Hallo zusammen, wollte mal fragen, was mit meiner DNS falsch ist? der A eintrag 88.48.118.88 sollte auf den ts3 ...

Windows Server
Passwortänderung an RODC möglich?
Frage von DexthaWindows Server23 Kommentare

Hallo, ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich ...

Windows 10
Windows am MAC
gelöst Frage von LeeX01Windows 1019 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Windows Server
RDP als Citrix Alternative
gelöst Frage von samreinWindows Server17 Kommentare

Hallo zusammen, ich bin neu hier und das ist mein erster Beitrag. Ich bin Einzeladmin und wir setzen bei ...