Falsche Gruppenberechtigung

[joerg.giencke]

Bei einem freigegebenen Ordner haben wir das Problem, dass Gruppenberechtigungen (Schreibgeschützt, siehe Screenshot) angezeigt werden (und auch funktionieren), die es gar nicht gibt. Die Systemgruppe users (nur von dort könnte die Gruppenberechtigung ja vererbt werden) hat keinerlei Rechte für diesen Ordner.

Was könnte die Ursache sein? Wie bekommt man das wieder gerade gebogen?

 

[Benares]

Die Systemgruppe users (nur von dort könnte die Gruppenberechtigung ja vererbt werden) hat keinerlei Rechte für diesen Ordner.

Bedeutet? Zeig mal einen Screenshot von den Gruppenberechtigungen. Sitzt da bei users wirklich keines der Häkchen?

Generell gilt: Wenn man auf Gruppenebene irgendwas einschränkt (z.B. Schreibgeschützt), kann man es auf Userebene nicht mehr erweitern.

 

[joerg.giencke]

Bedeutet? Zeig mal einen Screenshot von den Gruppenberechtigungen. Sitzt da bei users wirklich keines der Häkchen?

Wie man sieht: Nichts freigegeben.

 

[Benares]

Ich meinte eher den Screenshot von #1 nur umgeschaltet auf "Lokale Gruppen" statt "Lokale Benutzer"

 

[joerg.giencke]

Hier nochmal die Gruppe guest:


Die dürfen standarmäßig gar nichts. Woher soll der schreibgeschützte Zugang kommen?

 

[joerg.giencke]

Ich meinte eher den Screenshot von #1 nur umgeschaltet auf "Lokale Gruppen" statt "Lokale Benutzer"

Ahhh ...


... schon merkwürdig, oder?

 

[Benares]

Mmh, dann schau mal in welchen Gruppen die Benutzer acronis, guest und knecht.backup alle drin sind. Ist das wirklich nur "users".
Und schau dir mal die Berechtigung von backup über die Filestation an (Rechts-Klick, Eigenschaften, Berechtigungen)

 

[Georgius]

Welchen Gruppen gehört zB arconis an?

 

[joerg.giencke]

acronis gehört nur users an und users hat (siehe Screenshot weiter oben) keinerlei Standardberechtigungen. Lesen/Schreiben in backup ist explizit gesetzt.

 

[joerg.giencke]

Und schau dir mal die Berechtigung von backup über die Filestation an (Rechts-Klick, Eigenschaften, Berechtigungen)

Der allererste Screenshot zeigt genau das.

 

[Georgius]

Benares hat zeitgleich geschrieben. Die Idee mit Rechte in der Filestation klingt gut. Weil Schreibgeschützt kommt in den normalen Rechten garnicht vor.

 

[joerg.giencke]

Das Phänomen ist übrigens kein Einzelfall. Ich habe gerade mit einem befreundeten IT-Admin telefoniert und der hat das bei Kunden auch schon gesehen. Erklärung: keine, Lösung: keine.

 

[joerg.giencke]

Benares hat zeitgleich geschrieben. Die Idee mit Rechte in der Filestation klingt gut. Weil Schreibgeschützt kommt in den normalen Rechten garnicht vor.

Wie ich schon an Benares schrieb: Der allererste Screenshot zeigt genau das. Oder meint ihr etwas anderes?

 

[Benares]

Nein, das ist nicht aus der Filestation. In der Filestation sieht das in etwa so aus:



Dort hat man die detaillierteste Ansicht.

 

[joerg.giencke]

Okay, begriffen ... und da sehen wir auch schon das Problem:

Die ausgegrauten Einträge unten haben da nichts zu suchen. Insbesondere Everyone mit dem Recht Lesen. Von letzterem stammt höchstwahrscheinlich das Schreibgeschützt für alle als Gruppenberechtigung.

 

[Benares]

Denke ich auch. Die Grautastung deutet auf Vererbung hin (letzte 3 Zeilen). Aber von was? Vererbung geht nur mit ACLs und normalerweise läuft /volume1 selbst noch ohne ACLs. Erst darunter geht's mit ACLs los.

Bist du fit auf der Konsole (ssh/putty)? Kannst du mal ein "ls -als /" absetzen? Steht bei /volume1 ein + hinter den Rechten?

 

[joerg.giencke]

Ich habe einen Verdächtigen. Ich habe mal bei zwei anderen Kunden nachgeschaut und alle freigegebenen Ordner dort sind völlig okay / völlig unauffällig außer - und jetzt kommts - die Ordner auf die Acronis True Image lesend / schreibend Zugriff hat.

Aber wie kann eine Software an den ACLs auf Betriebssystemebene herumfummeln? Spontan würde ich sagen: Supersicherheits-GAU.

 

[Benares]

Ich benutze zwar auch Acronis, aber nicht auf /backup sondern auf weiteren Ebenen darunter (z.B. /backup/AcronisImages/pc1). Da kann ich nichts dergleichen feststellen.

 

[joerg.giencke]

Da kann ich nichts dergleichen feststellen.

Ich hab auch noch mal mit dem oben genannten befreundeten IT-Admin telefoniert und der bestätigt meine Vermutung ("Jetzt, wo Du's sagst .."). Vielleicht ist das nicht so, wenn man mit der Berechtigung, wie in Deinem Fall, tiefer in der Ordnerstruktur ansetzt.

 

[joerg.giencke]

Ich habe mittlerweile 11 bestätigte Fälle.