3
Samba-AD - Samba Share mit deaktivierter Vererbung und expliziten Ordnerberechtigungen
Guten Abend zusammen!
Seit mehreren Tagen versuche ich mich in die Linux Server Welt einzuarbeiten - in meiner Freizeit. Bisher habe ich nur Windows Server administrieren können / dürfen. Bei dem Nachbau eines Windows-AD´s mit Samba bin ich jedoch nun auf ein Problem gestoßen - die Ordnerberechtigungen.
Folgende Struktur existiert exemplarisch in der Windows Umgebung:
Ordner "Userprofiles" mit einem Unterordner "Personalleitung" und "Mitarbeiter". Der Ordner "Userprofiles" ist für jeden mit Vollzugriff freigegeben. Im Reiter Sicherheit sind die Gruppen "Domänen-Admins", "Administratoren" sowie "System" eingetragen. Bei den Ordner "Personalleitung" und "Mitarbeiter" ist die Vererbung der Ordnerberechtigungen deaktiviert, sodass explizite Berechtigungen gesetzt sind. Auf den Ordner "Mitarbeiter" haben die Benutzer der Gruppe Mitarbeiter Vollzugriff, neben den Dom-Admins, den normalen Admins und der Gruppe System. Das selbe in Grün für Personalleitung.
Wird nun über die Adressleiste versucht mit "\\servername\Userprofiles" von einem Mitarbeiter diesen Pfad aufzurufen, bekommt er die Meldung, dass er keine Zugriffsrechte für diesen Ordner besitzt. Ergänzt er jedoch nun noch ein Mitarbeiter dahinter, sodass "\\servername\Userprofiles\Mitarbeiter" in der Adressleiste sieht, erhält er Zugriff auf diesen Ordner und kann den Inhalt des Ordners sehen. Bitte keine Diskussion ob dies Datenschutzkonform ist - dies ist nur ein Beispiel von meiner Seite - der Ordner könnte auch Mettbrötchen o. ä. heißen.
Diese Struktur (Ordnerberechtigungen) habe ich exakt 1:1 auf einem Debian 10 mit funktionsfähigen Samba AD über einen Windows 10 Client eingerichtet. Versuche ich nun auf den Ordner Mitarbeiter auf dem selben Pfad, wie oben zuzugreifen, greift direkt die Beschränkung vom Ordner "Userprofiles", welches ist als normaler Nutzer, wegen den gesetzten Berechtigungen nicht aufrufen darf. In weitere Unterordner, wo der Benutzer Vollzugriff hat habe ich keine Möglichkeit zuzugreifen, da bereits ab der ersten Ordnerberechtigung, worauf ich keinen Zugriff habe der weitere Zugriff dicht gemacht wird.
Hier noch der Auszug aus der smb.conf
Ich habe es ursprünglich mit den ersten 3 Zeilen probiert und nach Recherche im Netz diese anderen Zeilen hinzufügt. Zugegebenermaßen bin ich noch ein kompletter Linux Neuling, also noch am lernen. Über ABE-System habe ich mich bereits informiert, dieses würde ich aber ungerne verwenden.
Beste Grüße
Seit mehreren Tagen versuche ich mich in die Linux Server Welt einzuarbeiten - in meiner Freizeit. Bisher habe ich nur Windows Server administrieren können / dürfen. Bei dem Nachbau eines Windows-AD´s mit Samba bin ich jedoch nun auf ein Problem gestoßen - die Ordnerberechtigungen.
Folgende Struktur existiert exemplarisch in der Windows Umgebung:
Ordner "Userprofiles" mit einem Unterordner "Personalleitung" und "Mitarbeiter". Der Ordner "Userprofiles" ist für jeden mit Vollzugriff freigegeben. Im Reiter Sicherheit sind die Gruppen "Domänen-Admins", "Administratoren" sowie "System" eingetragen. Bei den Ordner "Personalleitung" und "Mitarbeiter" ist die Vererbung der Ordnerberechtigungen deaktiviert, sodass explizite Berechtigungen gesetzt sind. Auf den Ordner "Mitarbeiter" haben die Benutzer der Gruppe Mitarbeiter Vollzugriff, neben den Dom-Admins, den normalen Admins und der Gruppe System. Das selbe in Grün für Personalleitung.
Wird nun über die Adressleiste versucht mit "\\servername\Userprofiles" von einem Mitarbeiter diesen Pfad aufzurufen, bekommt er die Meldung, dass er keine Zugriffsrechte für diesen Ordner besitzt. Ergänzt er jedoch nun noch ein Mitarbeiter dahinter, sodass "\\servername\Userprofiles\Mitarbeiter" in der Adressleiste sieht, erhält er Zugriff auf diesen Ordner und kann den Inhalt des Ordners sehen. Bitte keine Diskussion ob dies Datenschutzkonform ist - dies ist nur ein Beispiel von meiner Seite - der Ordner könnte auch Mettbrötchen o. ä. heißen.
Diese Struktur (Ordnerberechtigungen) habe ich exakt 1:1 auf einem Debian 10 mit funktionsfähigen Samba AD über einen Windows 10 Client eingerichtet. Versuche ich nun auf den Ordner Mitarbeiter auf dem selben Pfad, wie oben zuzugreifen, greift direkt die Beschränkung vom Ordner "Userprofiles", welches ist als normaler Nutzer, wegen den gesetzten Berechtigungen nicht aufrufen darf. In weitere Unterordner, wo der Benutzer Vollzugriff hat habe ich keine Möglichkeit zuzugreifen, da bereits ab der ersten Ordnerberechtigung, worauf ich keinen Zugriff habe der weitere Zugriff dicht gemacht wird.
Hier noch der Auszug aus der smb.conf
[Userprofiles]
path = /media/daten/samba-share/Userprofiles
read only = No
create mask = 0775
force create mode = 775
security mask = 775
force security mode = 775
directory mask = 2775
force directory mode = 2775
directory security mask = 2775
force directory security mode = 2775Ich habe es ursprünglich mit den ersten 3 Zeilen probiert und nach Recherche im Netz diese anderen Zeilen hinzufügt. Zugegebenermaßen bin ich noch ein kompletter Linux Neuling, also noch am lernen. Über ABE-System habe ich mich bereits informiert, dieses würde ich aber ungerne verwenden.
Beste Grüße
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 537491
Url: https://administrator.de/forum/samba-ad-samba-share-mit-deaktivierter-vererbung-und-expliziten-ordnerberechtigungen-537491.html
Ausgedruckt am: 13.03.2025 um 15:03 Uhr
3 Kommentare
Neuester Kommentar
Seit mehreren Tagen versuche ich mich in die Linux Server Welt einzuarbeiten
Dann solltest du dir diesen Artikel mal ganz in Ruhe zu Gemüte führen, dann verstehst du das es so was wie eine Vererbung unter Linux nicht gibt ein User aber zumindest Execute(x) Rechte in der Ordnerkette besitzen muss um in einen Ordner zu wechseln, Leserechte(r) sind nur dort erforderlich wo er auch den Inhalt sehen soll 
.Rechte im Dateisystem – mehr als nur r,w,x
Hi,
danke für deinen Link. Ich habe nun etwas rum experimentiert, es klappt aber immer noch nicht. Der Ordner Userprofiles gehört dem Benutzer root und hat nun über chmod den Wert 770 zugewiesen bekommen. Der Ordner Mitarbeiter wiederum ebenfalls 770 und gehört der Gruppe Mitarbeiter. Ein Zugriff ist jedoch trotzdem nicht möglich. In Windows wird auch angezeigt, dass der Ordner der Gruppe Mitarbeiter gehört. Muss ich unter Linux eine Gruppe Mitarbeiter erstellen, sowie die Benutzer und die Ordnerbesitzer festlegen, oder reicht dies über die RSAT-Tools (Benutzer und Gruppe) und den Windows-Explorer um Ordnerbesitzer festzulegen?
danke für deinen Link. Ich habe nun etwas rum experimentiert, es klappt aber immer noch nicht. Der Ordner Userprofiles gehört dem Benutzer root und hat nun über chmod den Wert 770 zugewiesen bekommen. Der Ordner Mitarbeiter wiederum ebenfalls 770 und gehört der Gruppe Mitarbeiter. Ein Zugriff ist jedoch trotzdem nicht möglich. In Windows wird auch angezeigt, dass der Ordner der Gruppe Mitarbeiter gehört. Muss ich unter Linux eine Gruppe Mitarbeiter erstellen, sowie die Benutzer und die Ordnerbesitzer festlegen, oder reicht dies über die RSAT-Tools (Benutzer und Gruppe) und den Windows-Explorer um Ordnerbesitzer festzulegen?
Keiner eine Idee?
Ich bin nun mittlerweile soweit, dass ich folgende Struktur erreicht habe.
Physikalische Festplatte
Ordner "Domänenname" (771)--> root ist Besitzer
-- Userprofiles (771)--> root ist Besitzer
-- -- Mitarbeiter (771) --> root ist Besitzer
-- -- -- Testuser (777) --> Benutzer Testuser ist Besitzer
Mit dieser Konfiguration, durch die 1 am Ende, was für das x, also Execute steht, sollte doch eigentlich möglich, dass der Nutzer Testuser auf seinen eigenen Ordner Zugreifen kann, oder nicht?
Hat da jmd eine Idee, wie die smb.conf auszusehen hat, sowie die Ordnerrechte? Trotz mehrfachem lesen der Anleitung von serial funktioniert es einfach nicht.
Grüße
Ich bin nun mittlerweile soweit, dass ich folgende Struktur erreicht habe.
Physikalische Festplatte
Ordner "Domänenname" (771)--> root ist Besitzer
-- Userprofiles (771)--> root ist Besitzer
-- -- Mitarbeiter (771) --> root ist Besitzer
-- -- -- Testuser (777) --> Benutzer Testuser ist Besitzer
Mit dieser Konfiguration, durch die 1 am Ende, was für das x, also Execute steht, sollte doch eigentlich möglich, dass der Nutzer Testuser auf seinen eigenen Ordner Zugreifen kann, oder nicht?
Hat da jmd eine Idee, wie die smb.conf auszusehen hat, sowie die Ordnerrechte? Trotz mehrfachem lesen der Anleitung von serial funktioniert es einfach nicht.
Grüße
