WebDav: ACL funktioniert nicht so wie sie soll

Status
Für weitere Antworten geschlossen.

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Hallo!
Folgendes Problem mit DSM6.0:
WebDav funktioniert ohne Probleme.
Der Zugriff erfolgt für eine bestimmte Nutzergruppe auf einen freigegebenen, verschlüsselten Ordner nur mit Leserechten.
Ab einem bestimmten Unterverzeichnis erhält diese Gruppe Lese- und Schreibrechte.
Lesen und herunterladen funktioniert für diese Gruppe, aber:
  • Beim Erstellen eines Ordners oder einer Datei mittels Explorer wird unter Win10 schwerer Fehler 0x8000FFFF angezeigt.
  • Versuche ich eine Datei hochzuladen kommt Fehlermeldung, dass die Quelldatei nicht gelesen werden kann.
  • Versuche ich eine Word-Datei zu ändern, kommt zuerst eine Nutzername und Passwortabfrage der DS. Das Dokument öffnet, ist aber schreibgeschützt und auch Speichern unter einem anderen Namen geht nicht.
Die ACL ist zu 100% richtig gesetzt, die Gruppe wird auch mit korrekten Schreib- Leserechten angezeigt. Logge ich mich als Admin ein funktioniert dagegen alles!

Bin im Moment echt ratlos!
Kann jemand helfen, irgendeine Idee?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Antworte mir jetzt selbst.

Wie beschrieben gibt es einen shared Ordner, verschlüsselt.
Die Rechte dafür sind bei Admins Vollzugriff, bei Nutzer nur Lesender Zugriff.
Will ich nun in einem weiter unten verschachtelten Ordner dem Nutzer auch Schreibzugriff gewähren erfolgt dies mit den "erweiterten Berechtigungen".
Dazu mache ich die bis hierhin gültigen ACL mit "ausdrücklich machen" endgültig. Die Nutzeranzeige wechselt nun von grau auf schwarz.
Ich lösche die Nutzergruppe, die nur lesenden Zugriff hatte und füge über Erstellen diesen Nutzer jetzt mit Lese- und Schreibrechten dazu.
Eigentlich ganz einfach, nur hat es nicht funktioniert.
Problemlösung: Ich musste bereits im Root des Ordners die entsprechenden Berechtigungen für diesen Nutzer/Gruppe setzen.
Das bedeutet bei den Zugriffsrechten nur Lesen und bei den erweiterten Zugriffsrechten Lesen+Schreiben.
Anscheinend werden die erweiterten Zugriffsrechte solange weiter vererbt, bis sie durch "ausdrücklich machen" und dem Erstellen veränderter Zugriffsrechte aktiviert werden.

In Kurzform könnte man es vielleicht so erklären:
Zugriff auf shared Ordner wie gewünscht Einstellen
Über die erweiterten Zugriffsrechte alle Sonderwünsche hinsichtlich abweichender ACL für bestimmte Nutzer/Gruppen eintragen, sofern sie nur Lesezugriff haben.
Diese beiden ACL laufen jetzt immer parallel, nur greifen die erweiterten Zugriffsrechte nicht.
Erst durch "ausdrücklich machen" wird diese parallel mitgelaufene ACL aktiviert und die ab hier erfolgten Einstellungen funktionieren, sofern sie mit der Grundeinstellung aus dem Root Verzeichnis übereinstimmen.
Fehlt die passende erweiterte Berechtigung im Root des Share erhält man als bisher lesender und nun schreibberechtigter Nutzer die Fehlermeldung aus dem Ausgangspost.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat