Directory Server Benutzer dürfen eigene Verzeichnisse nicht löschen, wohl aber deren Inhalt

[Joachim_S]

Hallo in die Runde,

gerade kämpfe ich mit folgendem Problem: Benutzer unserer Domäne, die wir mit dem Synology Directory Server betreiben, dürfen im eigenen Home-Laufwerk keine Ordner mehr löschen. Versucht man, ein Verzeichnis oder einen ganzen Ordnerbaum zu löschen, lassen sich alle enthaltenen Dateien entfernen, aber die leeren Verzeichnisse bleiben übrig.
Wenn ich mir die Rechtevergabe für die fraglichen Ordner in der File Station angucke, steht die für den Besitzer auf "Vollzugriff". Man würde an ein Rechteproblem denken, aber: Wer die Rechte besitzt, eine Datei zu löschen, müsste doch auch ein auf gleicher Ebene liegendes Verzeichnis löschen dürfen, hätte ich gedacht.
Falls es nicht an Rechten liegt, vielleicht eine Policy-Einstellung?
Für meinen persönlichen Domänen-User (eigentlich gleich konfiguriert wie die anderen) gilt das Problem übrigens nicht: Ich kann Ordner löschen wie eh und je.
Auf einem anderen, auch von der Synology freigegebenen Netzlaufwerk besteht das Problem ebenfalls nicht, nur auf %HOME%.

Habt Ihr eine Idee?

 

[metalworker]

Also die erstellen einen Ordner , und können den danach nicht löschen?

 

[Joachim_S]

Also die erstellen einen Ordner , und können den danach nicht löschen?

Genau so ist es. Aufgefallen war es in einem komplizierteren Fall, aber letztlich reicht es, dass der User unter Windows ein Verzeichnis "Ordner1" anlegt mit einer Datei "Dummy1.txt" darin. Wenn er jetzt Ordner1 löscht, verschwindet die Datei, das Verzeichnis aber bleibt. Das gilt auch über beliebig viele Unterverzeichnisse hinweg.

 

[metalworker]

kannst mal nen Screen von den Rechten des Ordners machen? Details vorallem

 

[Joachim_S]

Wenn ich dasselbe für Unterordner mache, ist zwar alles ausgegraut, steht aber für den Benutzer "klausur07" auch auf Vollzugriff. Komisch finde ich die vier unbekannten User, die auch lesen und schreiben dürfen, aber die erklären mein Problem nicht, würde ich sagen.
Ich habe außerdem mal die effektive Berechtigungsprüfung angeworfen, die sieht eigentlich auch gut aus:

 

[plang.pl]

Kommt unter Windows ne Fehlermeldung beim Löschen, dass man zu wenig Rechte hat?

 

[Yippie]

der User unter Windows ein Verzeichnis "Ordner1" anlegt mit einer Datei "Dummy1.txt" darin. Wenn er jetzt Ordner1 löscht, verschwindet die Datei, das Verzeichnis aber bleibt.

Das habe ich bei mir tatsächlich so noch nicht gesehen und ich nutze den Directory Server nun schon ein paar Jahre.

Es klingt für mich eher danach dass eine unsichtbare (temporäre) Datei nach oder während dem Löschen, im Verzeichnis bleibt, die dann nicht mehr entfernt wird aber von DSM gesperrt wird.

Vielleicht auch gerne Mal die SMB Optionen posten!

Btw, welche DSM Version setzt du ein? Samba wird nämlich auch gerne Mal außerhalb der Reihe aktualisiert. Samba ist für die Shares verantwortlich, wenn man unter Windows bspw. Laufwerks-Buchstaben mappt.

 

[Yippie]

kannst mal nen Screen von den Rechten des Ordners machen? Details vorallem

Evtl. auch die Berechtigung der Eigenschaften unter Windows Mal posten, also rechte Maustaste auf das Verzeichnis, dann Eigenschaften und dort muss es irgendwo die Berechtigungen gaben, hab gerade keinen Windows PC hier laufen.

Btw, im File Explorer, direkt im DSM kannst du das Verzeichnis löschen? Als angemeldete Admin gehe ich stark davon aus.

Man kann als normaler Benutzer auch den File Explorer im Browser öffnen, gelingt dort das Löschen?

 

[plang.pl]

Es klingt für mich eher danach dass eine unsichtbare (temporäre) Datei nach oder während dem Löschen, im Verzeichnis bleibt, die dann nicht mehr entfernt wird aber von DSM gesperrt wird.

So hört sich das für mich auch an. Deshalb die Frage, ob eine Fehlermeldung erscheint

 

[Joachim_S]

Kommt unter Windows ne Fehlermeldung beim Löschen, dass man zu wenig Rechte hat?

Nein, eine Fehlermeldung kommt nicht. Es dauert nur sehr lange, und am Ende sind die Ordner noch da.

 

[plang.pl]

Dann liegt das m.E. nicht an Rechten sondern entweder an Windows oder an Lock-Dateien von SMB

 

[metalworker]

Hast es mal im DSM mit der Filestation probiert was da passiert?
Wichtig , mit dem gleichen User .

Aber ich tippe langsam auch eher auf ne Windows geschichte

 

[Joachim_S]

Das habe ich bei mir tatsächlich so noch nicht gesehen und ich nutze den Directory Server nun schon ein paar Jahre.

Es klingt für mich eher danach dass eine unsichtbare (temporäre) Datei nach oder während dem Löschen, im Verzeichnis bleibt, die dann nicht mehr entfernt wird aber von DSM gesperrt wird.

Vielleicht auch gerne Mal die SMB Optionen posten!

Btw, welche DSM Version setzt du ein? Samba wird nämlich auch gerne Mal außerhalb der Reihe aktualisiert. Samba ist für die Shares verantwortlich, wenn man unter Windows bspw. Laufwerks-Buchstaben mappt.

Mein DSM ist 7.2-64570. Versteckte Dateien werden mir auch dann keine angezeigt, wenn ich sie einblende.
Meine synoadserver.conf:
[global]
include = /etc/samba/smb.conf
include = /etc/samba/smbinfo.conf
include = /var/packages/DirectoryServerForWindowsDomain/conf/etc/smb.tls.con f
include = /var/packages/DirectoryServerForWindowsDomain/conf/etc/smb.option. conf
workgroup = CAE
realm = CAE.HS-FLENSBURG.DE
netbios name = CAENAS
server role = active directory domain controller
server services = rpc,nbt,wrepl,ldap,cldap,kdc,drepl,ntp_signd,kcc,dnsupdate
private dir = /var/packages/DirectoryServerForWindowsDomain/var/private
binddns dir = /var/packages/DirectoryServerForWindowsDomain/var/private
rpc server port = 1024
rpc server dynamic port range = 49300-49320
dnsupdate:name interval = 0
nsupdate command = /bin/nsupdate,-g
password server = 127.0.0.1,*
[netlogon]
read only = no
edit synoacl = yes
win share = yes
skip smb perm = yes
path = /var/packages/DirectoryServerForWindowsDomain/var/private/sysvol/cae. hs-flensburg.de/scripts
[sysvol]
read only = no
edit synoacl = yes
win share = yes
skip smb perm = yes
path = /var/packages/DirectoryServerForWindowsDomain/var/private/sysvol

Und noch die smb.conf:
[global]
printcap name = cups
winbind enum groups = yes
include = /var/tmp/nginx/smb.netbios.aliases.conf
admin users = @cae\Domain Admins,@cae\Enterprise Admins
min protocol = SMB2
security = user
local master = no
realm = *
passdb backend = smbpasswd
printing = cups
max protocol = SMB3
winbind enum users = yes
load printers = yes
workgroup = WORKGROUP

Ich weiß gar nicht, ob die smb.conf wirklich benutzt wird. Da steht ja als workgroup nur WORKGROUP drin und nicht der Name meiner Domäne.

 

[Joachim_S]

Evtl. auch die Berechtigung der Eigenschaften unter Windows Mal posten, also rechte Maustaste auf das Verzeichnis, dann Eigenschaften und dort muss es irgendwo die Berechtigungen gaben, hab gerade keinen Windows PC hier laufen.

Btw, im File Explorer, direkt im DSM kannst du das Verzeichnis löschen? Als angemeldete Admin gehe ich stark davon aus.

Man kann als normaler Benutzer auch den File Explorer im Browser öffnen, gelingt dort das Löschen?

Unter Windows stehen die Rechte auch auf Vollzugriff. Im DSM als Administrator kann ich die Ordner löschen. Unter DSM als der betroffene User muss ich es noch ausprobieren, ich weiß gar nicht, ob man sich mit einem Domänen-User am DSM anmelden kann.

 

[Joachim_S]

Ah, das ist interessant! Ich habe es jetzt ausprobiert und kann mich tatsächlich als der betroffene Domänen-User am DSM anmelden und dort die Ordner löschen. Also liegt die Ursache wohl doch eher auf der Windows-Seite, irgendwas mit Policies vielleicht.
Ich erinnere mich, dass dieses Verhalten im vergangenen Jahr sporadisch schon mal aufgetreten war, aber jetzt betrifft es fast alle Benutzer.

 

[plang.pl]

Windows blockiert sich da auch oft selbst. Diese leidige Geschichte mit gesperrten Dateien tritt m.E. unter Linux wesentlich weniger bis gar nicht auf.

 

[NSFH]

Irgendwie ist deine ganze ACL Schrott.
Unbekannte Nutzer, Everyone mit besonderen rechten, Admin haben keine volle Kontrolle laut ACL (haben sie trotzdem, müssten da gar nicht stehen) usw.
Ich würde erst mal alles bereinigen!
Wenn der Besitzer eingeschränkte Rechte hat und der Nutzer volle Rechte, was erwartest du, was das System macht wenn das Widersprüche beinhaltet? Bei Linux wird automatisch eingeschränkt wenn 2 Rollen mit unterschiedlichen Rechten aufeinander stossen.
Wenn du bereinigst würde ich das über die FileStation machen und die vererbung dabei aktivieren damit alle Dateien und Unterverzeichnisse bereinigt werden.

 

[Joachim_S]

Hallo,
du hast Recht, da geht offenbar einiges durcheinander. Die Einträge für die unbekannten Nutzer konnte ich schon loswerden auf Ebene der homes-Freigabe. Hier könnte ich jetzt auch "administrators" und "Everyone" berichtigen. Wie sollten die denn stehen, kann "administrators" hier wirklich gelöscht werden?
Komisch ist auch, dass der User zweimal namentlich aufgelistet wird ("klausur07") und dann nochmal als "Owner", der laut Eigenschaften natürlich auch "klausur07" ist. Die Rechte des Owners stehen zwar auf "benutzerdefiniert", aber wenn man sich die ansieht, stellt man fest, dass das auch ein Vollzugriff ist (alle Häkchen gesetzt). All das habe ich nie bewusst so eingerichtet, das muss vom Synology Directory Server gekommen sein.
Mein eigenes Konto, an dem das Problem wie gesagt nicht auftritt, hat hier allerdings genau dieselben Rechte.

Könntest du mal posten, wie deine Settings an dieser Stelle aussehen?

 

[plang.pl]

Du kannst auch den ganzen Home-Dienst inkl Dom-User Home einmal deaktivieren und wieder aktivieren. Daten werden dabei keine gelöscht. Aber die Rechte werden neu durchvererbt und sollten danach passen.

 

[Joachim_S]

Oh! Das klingt interessant. Könntest du noch kurz erklären, wo ich das finde? Unter den Dateidiensten sehe ich es nicht. Den ganzen Directory Server habe ich schon ein paarmal neu gestartet übers Paketzentrum, das hat aber nicht geholfen.