Unterschied zwischen "no access" und garnichts?!

randfee · 04. Feb 2011

Hallo,

ich wollte schon immer mal gefragt haben, was das soll (s. Anhang).
User, bei denen "no access" markiert ist haben zwar keinen Zugriff auf den Share, sehen ihn aber. User bei denen kein Recht selektiert ist sehen den Share garnicht - ich bin jetzt zu faul wirklich auf der DS zu suchen was wirklich Sache ist, irgendwie finde ich das irreführend oder gar inkonsequent.
In der Hilfe ist der Fall, dass nichts selektiert ist, garnicht berücksichtigt

Kann mich mal einer aufklären?

Anzeige · 04. Feb 2011

Hallo randfee,

Bücher und Hardware zum Thema gibt es bei Amazon: Unterschied zwischen "no access" und garnichts?!

thedude · 04. Feb 2011

Das ist zur feineren Einstellung der Rechte da. Angenommen ein User ist in einer Gruppe, welche auf zwei Shares Zugriff hat. Jetzt möchtest Du aber das ganau dieser User auf ein Share von diesen beiden keinen Zugriff hat. Dann klickst Du für eben diesen "no access" unter den Userrechten an. So verstehe ich das zumindest. Userrechte sind also spezifischer.

gruss
dude

Trolli · 04. Feb 2011

Sehen oder nicht sehen ist keine Frage der vergebenen Rechte, sondern es gibt eine zusätzliche Einstellung mit der man die Shares verstecken kann:

Trolli · 04. Feb 2011

thedude schrieb:
Das ist zur feineren Einstellung der Rechte da. Angenommen ein User ist in einer Gruppe, welche auf zwei Shares Zugriff hat. Jetzt möchtest Du aber das ganau dieser User auf ein Share von diesen beiden keinen Zugriff hat. Dann klickst Du für eben diesen "no access" unter den Userrechten an. So verstehe ich das zumindest. Userrechte sind also spezifischer.

gruss
dude

Es ist aber nicht so, dass Userrechte Vorrang von Gruppenrechten haben, vielmehr haben einschränkende Rechte Vorrang vor weniger einschränkenden Rechten. Wenn Du also ein Benutzerrecht "read/write" hast, aber ein zugehöriges Gruppenrecht "no access", so hat das "no access" Vorrang vor dem Benutzerrecht "read/write".

thedude · 04. Feb 2011

Verstehe. Was man nich alles einstellen kann.

gruss
dude

randfee · 05. Feb 2011

Trolli schrieb:
Sehen oder nicht sehen ist keine Frage der vergebenen Rechte, sondern es gibt eine zusätzliche Einstellung mit der man die Shares verstecken kann:

hm ok... dann machts wieder Sinn. cheers.... d.h. ich setze alle Folder besser auf invisible... hätte eher erwartet, dass das standardmäßig aus ist und User nur die Shares sehen, die sie zumindest lesen können.

Trolli · 05. Feb 2011

Das geht nicht, weil man die Shares ja schon vor der Anmeldung sieht. Erst beim Zugriff wird Benutzername und Passwort abgefragt. Deshalb kann man das eine eben auch nicht mit dem anderen koppeln...

randfee · 05. Feb 2011

ich hätte immer gedacht, dass es am Sinnvollsten ist, wenn ein nicht angemeldeter rein garnichts sieht außer den Servernamen. Will er mehr sehen muss er sich anmelden, woraufhin er dann sieht, wofür er Rechte hat.

Trolli · 07. Feb 2011

Das ist ja auch bei der File Station so. Das SMB-Protokoll funktioniert da aber halt ein wenig anders...

jahlives · 07. Feb 2011

randfee schrieb:
ich hätte immer gedacht, dass es am Sinnvollsten ist, wenn ein nicht angemeldeter rein garnichts sieht außer den Servernamen. Will er mehr sehen muss er sich anmelden, woraufhin er dann sieht, wofür er Rechte hat.

Dieses Vorhaben ist sehr komplex. Wir haben hier im Geschäft einen Novell Server, der dafür sorgen sollte, dass man nur Freigaben sieht für die man auch Rechte hat. Allerdings drück dieses Teil so gewaltig auf die Performance, dass es wieder deaktiviert wurde und die User wieder alle Freigaben sehen können. Auch diejenigen wo der User keinerlei Rechte hat. Es scheint eine ziemlich performancehungrige Aufgabe zu sein, Freigaben wo User keiner Rechte haben, auszublenden.

itari · 07. Feb 2011

jahlives schrieb:
Dieses Vorhaben ist sehr komplex. ... Es scheint eine ziemlich performancehungrige Aufgabe zu sein, Freigaben wo User keiner Rechte haben, auszublenden.

Logisch ist das aber nicht.

Itari

randfee · 07. Feb 2011

danke... das dachte ich auch

- wo soll denn da bitte die Performance draufgehen... ominös!
Ich fände es zum einen aus sicherheitstechnischen Gründen, aber auch aufgrund der "Ordnung & Übersichtlichkeit" besser, wenn jeder User nur sehen kann, worauf er auch zugreifen kann.

jahlives · 07. Feb 2011

randfee schrieb:
danke... das dachte ich auch - wo soll denn da bitte die Performance draufgehen... ominös!

Weil du bei JEDEM Abfragen der verügbaren Sahres erst prüfen musst ob der User die Share überhaupt sehen darf. browsable yes/no ist ein einfaches Flag in der Konfig und für alle User gleich. Sagen wir du hast pro Freigabe 200 erlaubte Benutzer. Das heisst bei jedem Zugriff muss er eine Liste von 200 Usern geprüft werden.
Wie gesagt wir hatten so ein System bei uns auf der Arbeit. Allerdings konntest du dann z.T 30 Sekunden warten ehe du die Liste der erlaubten Freigaben sehen konntest. Ich habe an Sitzungen Prozessorauslastungsgrafiken für dieses System gesehen, einmal mit und einmal ohne. Dazwischen lagen Welten

randfee · 07. Feb 2011

schon klar, aber mir erschließt sich nicht, warum das "bisschen" (das ist ja keine Datenmenge) eine halbwegs ordentliche CPU so dermaßen in die Knie zwingen sollte.

jahlives · 07. Feb 2011

Habe noch einen Ansatz gefunden wie man das machen könnte. Samba bietet die Möglichkeit nach der Useranmeldung definierte Userscripte zur Konfig zu verwenden

Code:

include = /usr/local/samba/lib/smb.%U.conf

also würde man dort drin einem unberechtigten User alle jene Shares definieren wo er keinen Zugriff hat (entsprechende Rechte setzen) und dann browsable=no
Allerdings wird auch hierbei die Performance nicht so dolle sein, weil dies bei JEDEM Zugriff auf eine Share wieder von neuem gemacht werden muss. Klar bei 2 Usern geht das noch. Aber bei ein paar hundert geht das in die Knie

jahlives · 07. Feb 2011

randfee schrieb:
schon klar, aber mir erschließt sich nicht, warum das "bisschen" (das ist ja keine Datenmenge) eine halbwegs ordentliche CPU so dermaßen in die Knie zwingen sollte.

Du kennst das Prinzip der IT: auch Kleinvieh mach Mist resp Last.

Stell dir einfach vor es geht pro User nur 1/10 Sek länger. Bei einem entsprechend grossen Netzwerk sind das schnell ein paar Sekunden. Wie gesagt bei einem kleinen Netzwerk wird es nicht so ins Gewicht fallen.
Der Klassiker ist die while oder for Schleife: Bei nur weniger Schleifendurchläufen ist der Unterschied sehr marginal resp kaum messbar. Wenn du aber die Schleife ein paar Millionenmal durchlaufen musst, dann kommst du in der Gesamtlaufzeit auf Unterschiede im Minutenbereich. Es sind nur wenige Mikrosekunden wo eine while langsamer ist als eine for. Dieses Kleinvieh macht irgenwann gewaltig Mist.
Unser Netzwerk in der Firma ist eben relativ gross (sind afaik ca 5000 User). Und darum musste dieses Feature wieder ausgeschaltet werden, weil die Performance wirklich unterirdisch war

randfee · 07. Feb 2011

ja, cool, das ist auch ne Idee, ich trag aber einfach bei Usern die kein Zugriffsrecht haben auch nicht "no access" in der DS ein, hat ja den selben Effekt, der User sieht den Share nicht... und hat auch keinen Zugriff. Das ist ja auch keine Arbeit, da das ja das Standard-Setting ist.

Klar entsteht bei den Abfragen overehead, dass man damit aber ein System derart in die Knie zwingen kann... Fehlkonstruktion

. Muss doch im Rahmen der Performance liegen bei jedem Zugriff die Berechtigung zu klären, alles andere sehe ich als potentielle Sicherheitslücke!

jahlives · 07. Feb 2011

ein Problem dazu noch von Windows: Wie es mit Windows7 ist weiss ich ned, aber bei XP und Vista hattest du keine Garantie, dass die verfügbaren Freigaben auch wirklich unter deinem User abgefragt wurden. Es kam oft vor, dass Windows die Liste mit einem anonymen Account geholt hat.