9
Samba Benutzerverwaltungsproblem
Hallo Leute,
ich brauch wieder mal eure Hilfe!
ich hab grad ein logik problem meinerseits.
angenommen ich hab 6 mitarbeiter und einen chef.
die 6 mitarbeiter haben alle ein home verzeichnis auf das nur sie zugreifen können und auch nur sie sehen können.
das funktioniert auch alles so.
diese 6 user befinden sich in der gruppe mitarbeiter.
eigentümer der jeweiligen /home verzeichnise ist der jeweilige user.
jetzt möcht ich allerdings, dass der chef alle diese 6 ordner bei sich in der netzwerkumgebung einsehen kann und auch daten ändern/löschen kann.
wie kann ich das realisieren.
bis jetzt sind die benutzerrechte (chmod) auf 700 gesetzt damit eben nur der eigentümer den ordner sehen bzw bearbeiten kann.
wenn ich den chef auch in die gruppe mitarbeiter packe und der gruppe auch recht geben würde 770 dann würden ja auch alle anderen user in der gruppe "mitarbeiter" den ordner sehen bzw. bearbeiten können ?!
könnt ihr mir einen denkanstoß geben bitte! Danke
lg
ich brauch wieder mal eure Hilfe!
ich hab grad ein logik problem meinerseits.
angenommen ich hab 6 mitarbeiter und einen chef.
die 6 mitarbeiter haben alle ein home verzeichnis auf das nur sie zugreifen können und auch nur sie sehen können.
das funktioniert auch alles so.
diese 6 user befinden sich in der gruppe mitarbeiter.
eigentümer der jeweiligen /home verzeichnise ist der jeweilige user.
jetzt möcht ich allerdings, dass der chef alle diese 6 ordner bei sich in der netzwerkumgebung einsehen kann und auch daten ändern/löschen kann.
wie kann ich das realisieren.
bis jetzt sind die benutzerrechte (chmod) auf 700 gesetzt damit eben nur der eigentümer den ordner sehen bzw bearbeiten kann.
wenn ich den chef auch in die gruppe mitarbeiter packe und der gruppe auch recht geben würde 770 dann würden ja auch alle anderen user in der gruppe "mitarbeiter" den ordner sehen bzw. bearbeiten können ?!
könnt ihr mir einen denkanstoß geben bitte! Danke
lg
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 80138
Url: https://administrator.de/contentid/80138
Printed on: April 18, 2024 at 02:04 o'clock
9 Comments
Latest comment
könnt ihr mir einen denkanstoß geben bitte! Danke
Gern: Nimm doch einen echten Windows Server.
Sorry, die Vorlage war so steil...
> könnt ihr mir einen
denkanstoß geben bitte! Danke
Gern: Nimm doch einen echten Windows
Server.
Sorry, die Vorlage war so steil...
Hmm, fast witzig, aber nich hilfreich
Leg dir im Unix und im Windows ne Gruppe "chef" an, in die du dann jeweils deinen Chef packst, machst auf dem Samba-Server "chgrp -R chef /home" und "chmod -R 770 /home" und noch eine Freigabe auf /home in der smb.conf, wo nur chef (und evtl. admin
) zugreifen darf (Stichwort: "valid users") und alles ist so, wie du es haben willst ...Ich muss jetzt ins Bett
Gruß, Limi
PS: Wieso darf ich eigentlich nicht W i n d o o f (ohne Lehrzeichen) schreiben, oder gaukelt mir da die Vorschau nur was anderes vor? Hat sich da etwa jemand das als Wortmarke schützen lassen und ist jetzt fröhlich auf Abmahntour?? Egal, ich muss ins Bett ...
hallo, danke erstmal für die antworten. zumindest für die 2.
entweder ich bin zu doof oder ich weiß auch nicht.
was hat mein problem damit zu tun, dass ich auf einer windows kiste ne gruppe "chef" anlegen soll?
mein problem bezieht sich lediglich auf einen linux server auf dem (für windows user) ein ordner zum speichern von daten angelegt werden soll. der allerdings NUR von ihm selbst gesehen werden soll UND eben vom "chef".
lg
entweder ich bin zu doof oder ich weiß auch nicht.
was hat mein problem damit zu tun, dass ich auf einer windows kiste ne gruppe "chef" anlegen soll?
mein problem bezieht sich lediglich auf einen linux server auf dem (für windows user) ein ordner zum speichern von daten angelegt werden soll. der allerdings NUR von ihm selbst gesehen werden soll UND eben vom "chef".
lg
Hallo Michael,
in deinem Ursprungspost sollte ja der "Chef" auf die Homeverzeichnisse der User lesend und schreibend zugreifen können. Da nun 2 Betriebssysteme (Win und Unix) mit unterschiedlichen Sicherheitskonzepten sich per Samba untereinander verstehen sollen, müssen wir sie auf einen Nenner bringen.
Auf dem Unix-Samba-Rechner sind die User 2fach angelegt: als Unix-User und als Samba-User. Beim Anmelden von UserA an einem Samba-Domänenkontroller wird auf dem Windows-Rechner ein lokaler Nutzer gleichen Namens (und gleicher SID wie im Samba) angelegt, der beim Abmelden i.d.R. wieder gelöscht wird (ist der Samba-Server kein Domänenkontroller, muss der Nutzer in Windows eben von Hand angelegt werden). UserA hat auf sein Home-Verzeichnis von Unix-Seite her Zugriffsrechte 700, dh. es darf niemand anderes zugreifen. Soll nun noch z.B. UserB und nicht gleich alle darauf zugreifen dürfen, muss eine Gruppe XY mit dem Zugriffsberechtigten UserB als Mitglied im Unix erstellt werden, und dieser Gruppe auch Zugriff auf das Homeverzeichnis von UserA gewährt werden -> setze Zugriffsrecht 770 und chgrp XY. Nun weiss aber Windows noch nix davon, da es Gruppe XY nicht kennt und von Windows-Seite UserA und UserB standardmäßig nur in Gruppe "Benutzer" (beim dt. Windows) sind. Legen wir nun im Windows eine Gruppe XY an und tun dort UserB hinein, kann wie durch Zauberhand auf einmal UserB, der sich mit Windows am Samba-Server anmeldet, auf das Homeverzeichnis von UserA zugreifen
Hoffe mich verständlich ausgedrückt zu haben
Gruß, Limi
in deinem Ursprungspost sollte ja der "Chef" auf die Homeverzeichnisse der User lesend und schreibend zugreifen können. Da nun 2 Betriebssysteme (Win und Unix) mit unterschiedlichen Sicherheitskonzepten sich per Samba untereinander verstehen sollen, müssen wir sie auf einen Nenner bringen.
Auf dem Unix-Samba-Rechner sind die User 2fach angelegt: als Unix-User und als Samba-User. Beim Anmelden von UserA an einem Samba-Domänenkontroller wird auf dem Windows-Rechner ein lokaler Nutzer gleichen Namens (und gleicher SID wie im Samba) angelegt, der beim Abmelden i.d.R. wieder gelöscht wird (ist der Samba-Server kein Domänenkontroller, muss der Nutzer in Windows eben von Hand angelegt werden). UserA hat auf sein Home-Verzeichnis von Unix-Seite her Zugriffsrechte 700, dh. es darf niemand anderes zugreifen. Soll nun noch z.B. UserB und nicht gleich alle darauf zugreifen dürfen, muss eine Gruppe XY mit dem Zugriffsberechtigten UserB als Mitglied im Unix erstellt werden, und dieser Gruppe auch Zugriff auf das Homeverzeichnis von UserA gewährt werden -> setze Zugriffsrecht 770 und chgrp XY. Nun weiss aber Windows noch nix davon, da es Gruppe XY nicht kennt und von Windows-Seite UserA und UserB standardmäßig nur in Gruppe "Benutzer" (beim dt. Windows) sind. Legen wir nun im Windows eine Gruppe XY an und tun dort UserB hinein, kann wie durch Zauberhand auf einmal UserB, der sich mit Windows am Samba-Server anmeldet, auf das Homeverzeichnis von UserA zugreifen
Hoffe mich verständlich ausgedrückt zu haben
Gruß, Limi
hallo limi,
vielen dank für diesen post.
jetzt habs sogar ich gecheckt
lg, michael
//Edit:
eine kleine frage noch. bitte verkauft mich jetzt nicht für ganz dumm
wo leg ich den in windows gruppen an ? ich meine ich weiß wie ich einen benutzer anlege.
mach ich das unter "rechtsklick auf Arbeitsplatz --> Verwalten" ??
und noch eine logikfrage:
das heißt ich muss alle 6 mitarbeiter in 6 verschiedene gruppen stecken ?? denn es soll ja nur der chef alle homeverzeichnise sehen/bearbeiten können und nicht die anderen user ?!
oder könnt ich nicht einfach mit Valid User dem jeweiligen verzeichnis den "Chef" beipacken ?!
vielen dank für diesen post.
jetzt habs sogar ich gecheckt
lg, michael
//Edit:
eine kleine frage noch. bitte verkauft mich jetzt nicht für ganz dumm
wo leg ich den in windows gruppen an ? ich meine ich weiß wie ich einen benutzer anlege.
mach ich das unter "rechtsklick auf Arbeitsplatz --> Verwalten" ??
und noch eine logikfrage:
das heißt ich muss alle 6 mitarbeiter in 6 verschiedene gruppen stecken ?? denn es soll ja nur der chef alle homeverzeichnise sehen/bearbeiten können und nicht die anderen user ?!
oder könnt ich nicht einfach mit Valid User dem jeweiligen verzeichnis den "Chef" beipacken
?!
Also Gruppen bearbeiten/anlegen/löschen geht (zumindest bei WinXP Pro - k.A. ob's das auch bei der Home-Version gibt... ansonsten eben in der DOS-Box mit "net group gruppenname /add") mit "Systemsteuerung->Verwaltung->Computerverwaltung->Lokale Benutzer und Gruppen".
Die Antwort auf deine Logikfrage hast du dir ja schon fast selbst gegeben
Sinnvoll wäre es, damit wirklich nur Chef auf dei Nutzerverzeichnisse zugreifen darf, nur den in die Gruppe zu tun und ihm dann noch in der smb.conf mit "valid users" den Zugriff auf die Freigaben zu gewähren (da muss dann - denk ich jetzt mal - neben dem chef auch der jeweilige user stehen - kann's grad nich probieren). Sinnvoll wäre es außerdem noch, "create mode = 660" und "directory mode = 770" anzugeben, damit vom User neu erstellte Dateien/Verzeichnisse dann auch von der Gruppe gelesen werden können und umgekehrt...
Gruß, Limi
Die Antwort auf deine Logikfrage hast du dir ja schon fast selbst gegeben
Sinnvoll wäre es, damit wirklich nur Chef auf dei Nutzerverzeichnisse zugreifen darf, nur den in die Gruppe zu tun und ihm dann noch in der smb.conf mit "valid users" den Zugriff auf die Freigaben zu gewähren (da muss dann - denk ich jetzt mal - neben dem chef auch der jeweilige user stehen - kann's grad nich probieren). Sinnvoll wäre es außerdem noch, "create mode = 660" und "directory mode = 770" anzugeben, damit vom User neu erstellte Dateien/Verzeichnisse dann auch von der Gruppe gelesen werden können und umgekehrt...
Gruß, Limi
ok super habs gecheckt denk ich.
reichts dann aber nicht einfach einen user "chef" anzulegen und den als valid user anzugeben ?
brauch ich wirklich eine gruppe ? (wenn ja, nur wegen windows oder ?!)
bin nervig ich weiß
reichts dann aber nicht einfach einen user "chef" anzulegen und den als valid user anzugeben ?
brauch ich wirklich eine gruppe ? (wenn ja, nur wegen windows oder ?!)
bin nervig ich weiß
brauch ich wirklich eine gruppe ? (wenn ja, nur wegen windows oder ?!)
Ja brauchst du - nicht wegen Windows sondern wegen der Unix-Dateirechte.
Ist nur "valid users" angegeben, ist zwar Windows berechtigt, sich mit der Freigabe zu verbinden, kann dann aber nicht auf die dortigen dateien zugreifen, weil der entsprechende Nutzer auf Unix-Seite keine Rechte dazu hat ...
ok, gut, nun hab ichs komplett verstanden.
danke für deine hilfe.
lg
danke für deine hilfe.
lg
