[SMB] Ordner-Freigabe: Warum Freigabeberechtigung und Sicherheit?

[mgutt]

Wenn man in Windows einen Ordner im Netzwerk freigeben möchte, dann muss man ja immer den Nutzer bei der Freigabeberechtigung und unter Sicherheit hinterlegen. Warum sind diese zwei Schritte eigentlich notwendig, wenn man sowieso immer beides machen muss?

Hier ein Beispiel. Der Ordner "Musik" hat eine Freigabeberechtigung für den Nutzer "Unraid" und es wurden reine Lese-Rechte vergeben:

Und unter Sicherheit muss man den Nutzer ebenfalls anlegen (sonst wird der Zugriff abgelehnt):

Verstehe ich das richtig, dass "Sicherheit" eigentlich primär für die lokalen Zugriffsrechte gedacht ist? Weil wenn ich über "Sicherheit" einen Nutzer hinzufüge und der Ordner enthält sehr viele Dateien, dann poppt erstmal eine Fortschrittsanzeige auf, wo wohl die Rechte von allen Dateien angepasst wird:

Also braucht der Nutzer "Unraid" auch die lokalen Dateirechte. Wenn das aber doch klar ist, warum macht Windows das nicht schon, wenn ich den Nutzer lesend bei der Freigabeberechtigung hinzufüge? Von wegen "Der Nutzer foo soll auf den Ordner bar über das Netzwerk zugreifen können. Möchtest du die Dateirechte entsprechend anpassen?". Haben die das einfach vergessen oder gibt es etwas, was ich übersehe?

 

[McClane]

Sicherheit sind die Berechtigungen auf Dateisystemebene.
Freigabe sind die Berechtigungen auf Netzwerkebene.

Gibt verschiedene Szenarien wo man das beides benötigt. Z.B. wenn man auf einem Mehrbenutzerbetriebssystem den lokal arbeitenden Benutzern Schreibrechte geben möchte, aber wenn der gleiche User übers Netz drauf zugreift, dann darf er nur lesen.

 

[Bob.Dig]

Du hast übersehen, dass man nicht in diesen Fenstern rumspielen muss, sondern per Rechtsklick die Freigabe mittels eines Assistenten macht.

 

[snaxilian]

@McClane hat ja schon Sonderfälle genannt, ansonsten wird nur simpel über die Netzwerk-Berechtigungen gesteuert wer und ob man auf eine Freigabe zugreifen darf, WIE (nix, lesen, schreiben, erstellen oder alles nicht) wird dann über die Dateisystem-Berechtigungen geregelt.
Ist übrigens nicht nur bei Windows so sondern auch bei anderen Dateisystemen die mit SMB Freigaben arbeiten, also auch unraid. Wobei es da unter der Haube und hinter der GUI versteckt vermutlich Skripte etc. gibt, die einem dies abnehmen oder generell jedem angelegten User automatisch Zugriff per SMB gewähren und ob man dann auch was sieht oder nicht muss der Admin einstellen.

 

[mgutt]

Du hast übersehen, dass man nicht in diesen Fenstern rumspielen muss, sondern per Rechtsklick die Freigabe mittels eines Assistenten macht.

Du meinst auf den Ordner und dann Eigenschaften -> Freigabe? Das entspricht nur "Sicherheit". Damit wird nicht der Ordner selbst freigegeben, sondern der komplette Pfad. Wenn ich zB darüber den Ordner C:\Users\Marc\Test freigebe, dann erscheint im Netzwerk nur das Root-Verzeichnis "\Users" und ich sehe Ordner und Dateien, die ich eigentlich gar nicht freigegeben habe (zB \Users\Default):

Keine Ahnung was der Assistent da macht. Ich finde das jedenfalls nicht vertrauenswürdig. Daher gebe ich lieber nur den Unterordner frei. Dann wird dieser als separater Share im Netzwerk sichtbar und auf die darüber liegenden Ordner kann man nicht zugreifen:

Das ist vermutlich der Grund warum es mir komplizierter erscheint, da ich es feiner eingestellt haben möchte.

 

[Bob.Dig]

Nein. Mach mal einen Rechtsklick und dann müsste es der erste Eintrag unter dem ersten Strich sein...

 

[mgutt]

der erste Eintrag unter dem ersten Strich sein...

Du meinst "Zugriff gewähren auf" > "Bestimmte Personen...". Das ist das selbe. Dadurch wird bei Freigabe von C:\Users\Marc\Test ebenfalls der C:\Users\ als Share freigeben. Natürlich ist unter "Marc" nur der Ordner "Test" zu sehen, aber auf der Ebene darüber eben auch "Default". In der Computerverwaltung wird "Test" auch nicht angezeigt. Nur "Users":

Was richtig doof daran ist, dass man nicht sieht für welchen Ordner der User "unraid" eigentlich noch Rechte besitzt. Wenn ich nämlich "Users" in der Computerverwaltung entferne, verliert "unraid" nicht das Leserecht für den Ordner:

Nach ein paar Tests hatte ich diverse Konten (die man nur über die Computerverwaltung -> Sicherheit sieht), die es gar nicht mehr auf dem Rechner gab, aber die noch Leserechte besaßen. Schon ein komisches Konzept. Das bekommt man doch nie mehr "sauber".

 

[cumulonimbus8]

Weil die Linke eben Dinge notiert und die Rechte nicht mit ihr redet Unnützes zu streichen.

Mal angenommen ich gebe Ordner X für|mit User A frei. Dann wäre weiter nichts zu tun wenn A oder seine Gruppe Dateisystemrechte auf X hat. Logisch.

Gibt es den Ordner Y auf den User B keine Dateisystemrechte hat dann muss ich, gebe ich Y für|mit B frei, B auch die Dateisystemrechte geben sonst beißt die Freigabe auf Granit. Auch logisch.
Noch mehr kann B lokal alles mit Y tun dürfen, als Stellvertreter nach außen aber von mir aus nur lesen.

Alles logisch. Aber praktisch dermaßen umständlich… …in langatmigen, sperrigen, unperformanten Dialogen.
Theoretisch sollte «Gast» das alle können und schön einfach machen. Theoretisch.

CN8

 

[Bob.Dig]

Deswegen solltest Du ja auch den "Assistenten" nehmen statt "tiefer drin" die Sachen zu verändern.

Wenn die Freigabe beendet wurde, ist es ja ohnehin egal, ob der User noch auftaucht, es sei denn, er hat auch lokalen Zugriff. Und wenn man es irgendwie verhunzt hat, muss man halt sauber vor vorne anfangen (bin auch nur Hobby-Administrator).