Seit geraumer Zeit läuft bei uns am SekretärinneniMac eine USB-Platte,
die "freigegeben" ist. Sharing accounts für die Mitarbeiter wurden auf
diesem Rechner eingerichtet. Diese user befinden sich in der Gruppe
"firma" und lesen und schreiben auf dieser Freigabe hauptsächlich im
Projektordner mit seinen x Projekten, die alle wieder Unterordner mit
Dateien haben. Jeder user darf überall lesen und schreiben.
Rechtevergabe einfach in den Systemeinstellungen gemacht: Gruppe Firma
darf lesen und schreiben.
Die Platte wird getimemachined (auf 3 verschiedene Platten, stündlich,
wöchentlich und unregelmäßig) und täglich nachts geklont.
Im Grunde genommen bin ich mit dem setup einigermassen zufrieden; leider
nur im Grunde genommen, denn:
- Wenn ein user den Projektordner anklickt, Apfel-backspace macht und
die aufpoppende Dialogbox bestätigt, ist alles weg. Wenn ich das
Szenario hier schon beschreibe, dann bin ich sicher, dass das auch
irgendwann passiert.
Jetzt suche ich nach einer Lösung: Ich hatte mir bereits gedacht, dass
ich mithilfe von ACL die Freigabe so einrichte, dass man zwar Ordner
erzeugen darf, aber keine löschen darf. Löschen darf man erst, wenn man
sich bspw. als admin identifiziert hat, wenn man dazu das password hat.
Ich habe TinkertoolSystem und habe heute damit ein wenig
herumexperimentiert, bin aber zu keinem Ergebnis gekommen.
Wahrscheinlich verstehe ich auch zu wenig von der Materie.

Gerade fällt mir ein, dass es schon viel besser wäre, wenn ich einfach
den oberen Projektordner und jede Projektsammelordner eine Ebene
darunter gegen unbeabsichtigtes Löschen schütze. Wie müsste ich das
machen, ohne mich zu sehr von dem zu entfernen, was die Kollegen gewohnt
sind?

Kann einer von Euch das Problem nachvollziehen und mir da den ein oder
anderen Tip geben?

Ein Hinzufügen des ACL-Eintrags "Gruppe Firma, Verweigern: Unterordner oder Dateien löschen, Vererbung: alle Vererbungsoptionen" auf den freigegebenen Ordner und anschließendes Aufrufen von "Operation: Zugriffsrechte übertragen: Zugriffssteuerungsliste" in TinkerTool System Release 2 sollte den gewünschten Effekt erzielen.

Sandbox 2
Access control lists for Mac OS X Client. http://www.mikey-san.net/sandbox/

oä

Bislang sieht es so aus: Wenn ein user einen Unterordner nicht löschen kann, dann kann der da auch nicht reinschreiben. Jedenfalls meldet Numbers: "Das Dokument „Ohne Titel“ konnte nicht unter „Numbers.numbers“ gesichert werden." und es bleibt "Ohne Titel". Da muss ich wohl noch weiter herumexperimentieren.
Ich mache das zur Zeit mit TinkerToolSystem Release 2 Version 2.6.

Gruss Heiner

Jap das ist auch klar!

Numbers Dokumente sind Pakete (Ordner die so tun als ob sie Dateien wären). Bei jedem erneuten speichern wird das alte Paket gelöscht und ein neues angelegt. Jedoch kann er aufgrund der ACLs nicht mehr löschen!

Soll heißen du darfst die ACLs nicht vererben lassen!


Beste Lösung: einfach die ersten 2 ebenen deiner verzeichnisstruktur durchlaufen (per skript, jede nacht) und auf alle ordner die acl "everyone deny delete" hinzufügen! - damit sind dann zumindest die ersten beiden ebenen "geschützt".

Ja, das klingt für mich verständlich. Werde ich mich morgen wohl mal wieder dransetzen.
Aber, wie wird das denn "in normalen Serverumgebungen" gemacht? Oder hat man da dieses "Problem" nicht?

(Zu gegebener Zeit werde ich mich dann mal schlau machen müssen, wie man denn ein solches Skript schreibt:-))

In "normalen" Serverumgebungen (was ist schon bei Servern normal) löse ich das folgendermaßen:

Ich höre mir an, wie die Firma intern aufgebaut ist und erstelle aufgrund dessen Gruppen und Sharepoint. Auf den Sharepoints bekommen die jeweiligen Gruppen die jeweiligen Rechte. Beispielsweise darf die Produktionsgruppe die Daten der Editorengruppe nur lesen, aber sonst nichts.

Darüber läuft dann folgendes BackUp (jeweils mit CCC oder Superduper):
- jede Nacht auf eine interne Platte
- jeden zweiten Tag oder jeden Freitag auf eine externe Platte, welche jede Woche mit einer Baugleichen getauscht wird. Damit ist auch gleich ein externes BackUp abgedeckt, wenn die 2. Platte extern aufbewahrt wird.

Somit kann selbst bei Löschung alles wiederhergestellt werden und ein bootfähiges BackUp ist auch noch vorhanden!

Backup habe ich ja auch. Da sehe ich kein Problem. Jedoch will ich es überhaupt nicht soweit kommen lassen. Wenn das Backup tatsächlich mal eingespielt werden muss, ist das auf jeden Fall mindestens äußerst lästig.
Warum nutzt Du TimeMachine nicht? (Wird wohl etwas off-topic)