DSM 6.x und darunter Berechtigungspriorität ändern

[str0hhut]

Hallo zusammen,

ich bin Admin eines Radiovereins und stehe aktuell vor folgendem Problem:

Wir haben Beispielsweise drei Gruppen:
Büro
Redaktion
Vorstand

Nehmen wir an, wir haben drei Shares: Finanzbuchhaltung, Redaktionen, Vorstand.

Dann sähe die Berechtigungsmatrix wie folgt aus:
Büro, RW: Finanzbuchhaltung, Redaktionen
Büro, NA: Vorstand

Redaktion, RW: Redaktionen
Redaktion, NA: Vorstand, Finanzbuchhaltung

Vorstand, RW: Büro, Finanzbuchhaltung
Vorstand, NA: Redaktionen

So weit so gut.

Unser Problem ist jetzt allerdings folgendes: Es gibt einzelne User, die sind im Vorstand tätig, aber auch gleichzeitig Redakteure.
Die Berechtigungspriorität lautet jetzt aber: NA > RW > RO.
Und an diesem Punkt erschließt sich mir nicht so ganz die Logik dahinter. Denn wenn ich jetzt einem User die Gruppen Vorstand und Redaktion verpasse, darf er ja nur noch auf... gar nix mehr zugreifen.
Weshalb wurde diese Berechtigungspriorität gewählt? Weshalb nicht RW > RO > NA?
Wie kann ich das ändern?

In dieser Konstellation macht das ganze Konzept von Gruppen eigentlich nicht wirklich Sinn (für uns). Wir setzen auch Atlassian Software ein und dort ist es beispielsweise andersrum gelöst. Funktioniert prima.

Ich hoffe auf ein paar Tipps, wie ich dieses Problem umgehen kann.

Cheers,
str0hhut

 

[NSFH]

Weil das Linux ist und nicht Windows. In Win darf man erst mal alles, in Linux erst mal gar nix.
Verstehe das Problem trotzdem nicht.
Lege drei Freigaben an, also 3 Ordner im Wurzelverzeichnis
Dann drei Gruppen, für jede Freigabe eine. Hier können dann auch die Namen aller Zugriffsberechtigten bunt gemischt werden. Ob das nun im wahren Leben Redakteure oder Vorständler sind ist egal.
Damit hast du dann innerhalb der Freigabe keine Probleme mit der Vererbung. Aber die kannst du ggf. auch auf jeder beliebigen Ebene unterbrechen und gänzlich neue ACLs anlegen um zB bestimmte Mitglieder einer Gruppe auszusperren oder die r/w Rechte zu ändern.

 

[str0hhut]

Weil das Linux ist und nicht Windows. In Win darf man erst mal alles, in Linux erst mal gar nix.

Hmm, das kommt ganz auf den Kontext an.
Ich bin selbst Linux Admin und wenn ich sowas wie oben beschrieben auf einer Linux Kiste nachbaue, greift immer die Berechtigung mit den höchsten Rechten. Gerade getestet. Erst recht wenn ich einem User gesondert Berechtigungen gebe.

Wollte es eigentlich so unkompliziert wie möglich lassen damit das auch andere im Notfall administrieren können, daher hätte ich mir gewünscht einfach die (nach wie vor unlogische) Berechtigungspriorität ändern zu können. Aber so check das mal mit den ACLs ab, Danke für den Tipp.

 

[NSFH]

Du begehst einen Denkfehler in der Planung.
Du konfigurierst deine Gruppen auf Basis des "Berufes" an statt auf Basis der Funktionalität im LAN. Das macht dann die Erstellung der ACL kompliziert.
Machst du es so wie ich geschrieben habe kannst du auch innerhalb einer Vererbung gezielt aus den bisherigen Gruppenmitgliedern Untergruppen bilden um andere Nutzer auszuschliessen oder bestimmte Rechte zu entziehen. Du musst dann nur an diesem Punkt die Vererbung unterbrechen.
Wenn du das für jede der drei Freigaben machst hast du keinerlei Probleme.