Seltsame Dateisperrungen beim NAS

Mitglied: SarekHL
Hallo zusammen,

ich gebe mal eine Anfrage aus unserem Gemeindebüro weiter:

für einige Vorgänge, wie zum Beispiel das Erstellen des monatlichen Mitteilungsblattes, arbeiten Frau X und ich an ein und dem selben Dokument. Nun hatten wir mehrfach folgenden Fall: Ich habe das Dokument angelegt und auf in einem Ordner unter "gemeindedaten" gespeichert. Ich konnte dann auch nach Speichern und Schließen weiter darauf zugreifen. Wenn dann allerdings Frau X das Dokument bearbeitet hat und gespeichert hat, kam bei mir folgende Mitteilung:
ldcehecenbpicoak

Die Rechte in dem Ordner stimmen, eigentlich dürfen beide (nennen wir sie Frau X und Frau Y) alles. Beide sitzen an unterschiedlichen Win10-Rechnern und greifen (nicht zeitgleich) auf die gleiche Ordnerstruktur des NAS (QNAP TS-231P) zu. Die einkopierte Fehlermeldung stammt zwar von Word, Kopieren der Datei per Explorer geht aber auch nicht.

Hat jemand eine mögliche Erklärung dafür?


Danke im Voraus,
Sarek \\//_

Content-Key: 1085355796

Url: https://administrator.de/contentid/1085355796

Ausgedruckt am: 22.09.2021 um 13:09 Uhr

Mitglied: tomolpi
tomolpi 24.07.2021 um 22:45:01 Uhr
Goto Top
Hallo Sarek,

wie sehen denn die ACLs dieser Datei aus? Hast du da mal hineingesehen?

Grüße

tomolpi
Mitglied: SarekHL
SarekHL 25.07.2021 aktualisiert um 15:25:37 Uhr
Goto Top
Zitat von @tomolpi:

wie sehen denn die ACLs dieser Datei aus? Hast du da mal hineingesehen?

Völlig normal, eher zu viele Berechtigungen als zu wenig:

cacl
Mitglied: tomolpi
tomolpi 25.07.2021 um 15:31:58 Uhr
Goto Top
Zitat von @SarekHL:

Zitat von @tomolpi:

wie sehen denn die ACLs dieser Datei aus? Hast du da mal hineingesehen?

Völlig normal, eher zu viele Berechtigungen als zu wenig:

cacl

Und unter Windows von einem der Client aus? Vielleicht ist da ja was schief...
Mitglied: SarekHL
SarekHL 25.07.2021 um 15:35:58 Uhr
Goto Top
An die Clients komme ich jetzt nicht an :-( face-sad
Mitglied: Pjordorf
Pjordorf 25.07.2021 um 15:54:10 Uhr
Goto Top
Hallo,

Zitat von @SarekHL:
Völlig normal, eher zu viele Berechtigungen als zu wenig:
Sind das Freigabe ACLs oder NTFS ACLs oder was nutzt dein QNAP TS-231P für dessen Dateisystem?

Gruß,
Peter
Mitglied: SarekHL
SarekHL 25.07.2021 aktualisiert um 17:09:44 Uhr
Goto Top
Zitat von @Pjordorf:

Sind das Freigabe ACLs oder NTFS ACLs oder was nutzt dein QNAP TS-231P für dessen Dateisystem?

Naja, intern nutzt das NAS wohl ein Linux-System. Nach außen kann ich ganz normal Benutzer und Gruppen anlegen und denen Rechte auf Freigaben zuweisen:

berechtigung

Edit: Das NAS fungiert als Domänencontroller, entsprechend sind die Benutzer und Gruppen in dem Bereich angelegt:

benutzerverwaltung

Und so sieht die "Jedermanns-Berechtigung" für die Datei aus:

file-cacl

Allerdings habe ich das von einem Rechner aus abfragt, der nicht Mitglied der Domäne ist. Aber trotzdem: Alle dürfen lesen, aber wenn ich versuche, die Datei zu öffnen: Zugriff verweigert!
Mitglied: ForgottenRealm
ForgottenRealm 26.07.2021 um 09:03:05 Uhr
Goto Top
Ich kenne mich mit QNAP nicht aus, wohl aber mit Synology.
Dort gibt es in den SMB Einstellungen einen Punkt, der sich Opportunistic Locking aktivieren nennt.
Schau mal nach ob es so eine Einstellung bei deinem QNAP auch gibt und deaktiviere sie mal.
Mitglied: erikro
erikro 26.07.2021 um 17:56:05 Uhr
Goto Top
Moin,

irgendwie ist das alle inkonsistent, was Du uns da zeigst inkl Sarek und Christentum. ;-) face-wink Der erste Screenshot zeigt die klassischen Linuxrechte. Du sagst, das wären die ACLs der Datei. Also wärest Du der Besitzer. Frau X ist mit in der Gruppe, zu der die Datei gehört. Leider zeigt der Screenshot nicht, wer Besitzer und welche Gruppe das ist.

Der zweite Screenshot zeigt welches Rechtesystem? Sind das die ACLs des NAS? Das könnten dann Posix-ACLs sein. Was auch immer. Im dritten Screenshot zeigst Du dann die Gruppenverwaltung des DC im Webinterface des NAS. Tipp: Lade Dir die RSATs runter und verwalte die Domain damit.

Also letztlich haben wir es hier mit einem auf Samba4 basierenden AD zu tun.

Im letzten Screenshot sieht man dann, dass alle alles dürfen. Ist das die Datei oder das Verzeichnis?

Ich schlage Dir folgendes vor:

Logge Dich auf einem Client als Domain-Admin ein. Klicke mit der rechten Maustaste auf das Verzeichnis und gehe in Eigenschaften->Sicherheit. Unter "Erweitert" schaltest du erst einmal die Vererbung von oben aus (in explizite Rechte umwandeln) und richtest die Rechte so ein, wie es sein soll. Achte darauf, dass die Vererbung nach unten eingeschaltet ist. Dann sollte alles wieder gut sein.

Ich habe gute Erfahrungen mit solchen sambabasierten DCs/Fileservern gemacht, wenn man die Tools von Microsoft nimmt und die Linuxebene einfach ganz in Ruhe lässt. Das setzt Samba schon richtig auf das andere System um. ;-) face-wink Wenn man an beiden Systemen fummelt, ist die Erfahrung, dass es dann inkonsistent wird. Macht man es auf der Linuxebenen, dann brauchst halt eine Konsole und gute Kenntnisse, wie NTFS-ACLs auf Posix-ACLs abgebildet werden können.

Liebe Grüße

Erik
Heiß diskutierte Beiträge
tip
Outlook 2019 Konto hinzufügen - Kein Benutzername mehr bei IMAP Einstellungen - LösungFrankVor 1 TagTippOutlook & Mail31 Kommentare

Eine weitere Kuriosität unter Office 2019 ist bei mir gerade hart aufgeschlagen. Ich wollte ein normales IMAP/SMTP Konto zu Outlook 2019 hinzufügen. Das war aber ...

question
Clonen einer SSD Platte auf eine grösserejensgebkenVor 1 TagFrageFestplatten, SSD, Raid9 Kommentare

Hallo Gemeinschaft habe in meinem Rechner eine alte SSD 128 und eine neu installierte mit Windows 10 drauf 512 GB nun möchte ich gerne die ...

question
Dienst-PCs per Image sichern?Yan2021Vor 21 StundenFrageBackup15 Kommentare

Hallo Ihr Lieben ;-) So, Urlaub vorbei und schon kommt mal wieder eine Frage von mir. Wir haben hier so rund gerechnet 10 PCs. Da ...

question
Ablösung alte M.2 SSDUrx1974Vor 1 TagFrageFestplatten, SSD, Raid7 Kommentare

Hallo, ich habe in einem (anderen) Laptop eine ITE-ON CV3-8D128-11 128GB M2 / M.2 SSD 2280 drin. Ich wollte diese jetzt durch eine 1TB SSD ...

general
VPN-Einwahl für UnternehmensnetzwerkjoergVor 1 TagAllgemeinLAN, WAN, Wireless12 Kommentare

Hallo zusammen, aktuell beschäftige ich mich mit der Frage, ob unsere aktuelle User-VPN-Lösung noch die Richtige ist oder ob es bessere Alternativen gibt. Wir setzen ...

question
Problem mit gespiegelten BackupsystemfisiyouVor 1 TagFrageCluster8 Kommentare

Hi liebe Community, Bin derzeit als Umschüler (Fisi) im Betriebspraktikum unterwegs. Mir wurde jetzt ein Problem mit unseren Backupstorage mitgeteilt, wo ich mir eine Lösung ...

question
Webseite signierenUserUWVor 22 StundenFrageInternet9 Kommentare

Gelegentlich möchte man auf einer Webseite kritische Daten veröffentlichen, zum Beispiel Checksummen von Dateien/Programmen oder den Fingerprint eines Schlüssels. Frage: Wie kann man diese Information ...

question
"Aktualisieren und Herunterfahren" nach Windows Update erzwingenFrM222Vor 21 StundenFrageWindows Update7 Kommentare

Hallo Zusammen, wir verteilen unsere Windows Updates über WSUS (2016) und haben hier inzwischen eigentlich einen ganz guten Stand. Die Updates werden sehr zügig auf ...