Hallo Leute,

ich habe mehrere User unter Catalina angelegt.
User 1 ist Admin
User 2 ist Benutzer
Im User 1 läuft ein Datenbankserver und es existiert ein Datenordner dem ich Lese/Schreiberechte (angewendet für alle Unterobjekte) für User 1 + 2 gegeben habe.
Meldet sich nun User 2 an, öffnet den Datenbank Client und speichert ein externes PDF in der Datenbank, wird dieses auch in dem Datenordner des Datenbankservers von User 1 gespeichert. Soweit alles gut.
Aber möchte User 2 nun das gespeicherte Dokument wieder in der Datenbank öffnen, hat das Dokument auf Betriebssystemebene leider nur die Zugriffsrechte von User 1. Nun kann User 2 das Dokument nicht mehr öffnen.
Genauso passiert es, wenn eine Mail mit Anhang kommt. Die Datenbank ruft die Mail ab und speichert den Anhang im Datenordner des Datenbankservers von User 1 => User 2 hat keinen Zugriff.
User 2 ist die Sekretärin und es wäre schon gut, wenn sie die Mailanhänge lesen könnte.

Wenn User 1 nun manuell dem Datenordner wieder alle Lese/Schreibrechte angewendet auf alle Unterobjekte zuordnet, dann hat User 2 auch wieder Zugriff auf alle Anhänge. Nur dies soll automatisch richtig erfolgen. Es ist nicht praktikabel, wenn User 1 bei jeder neuen Mail / jedem neuem Dokument die Rechte neu einstellen muss.

Also, ich brauche praktisch einen Ordner auf den User 1 + 2 Zugriff haben, egal wer von beiden dort Ordner erzeugt oder Dateien ablegt.

Hat jemand eine Idee, einen Tipp? Braucht ihr mehr Infos?
Der Datenbankhersteller kann auf Betriebssystemebene nicht helfen.

Danke
Olli

Es gibt auf der Ebene Benutzer einen Ordner der nennt sich geteilt.
Wenn Sie hier Ihre Datenbanken und Dokumente speichern gibt es die von Ihnen genannten Probleme nicht.



Wie gesagt Benutzer heißt der Ordner (English User) und dort sind dann die Benutzerkonten zu sehen inclusive dem Geteilt Ordner.

mmmh... danke erst mal.
als User 1 in dem geteilt Ordner einen "neuen Ordner" angelegt hat, waren dort auch nur für User 1 Lese/Schreibrechte. Der Benutzer everyone hat nur Leserechte, das reicht aber nicht.
User 2 war nicht dem "neuen Ordner" zugeordnet.

Das Problem ist also, wenn neue Ordner/Dateien von User 1 angelegt werden, hat User 2 keinen Zugriff.

Ist nicht richtig, da die benutzerrechte auf diesem Ordner nicht aktiv sind. Sie haben Ihren Daten aber Rechte zugeordnet. Das müssen Sie korrigieren. Anbei ein Screenshot mit den Rechteeinstellungen die das System vergeben hat.



Den Punkt geteilter Ordner bitte aktvieren.

Das mit dem geteilter Ordner kannte ich noch nicht. Probiere ich mal aus. Melde mich später wieder.

Ach ja, die Option geteilter Ordner läßt sich auch auf Ihren Original Ordner aktivieren.

Das ist Unsinn. Selbstverständlich sind hier Benutzerrechte aktiv, die sind nur ab Werk anders eingestellt.

Wenn es irgendwo im Betriebssystem auch nur einen einzigen Ordner ohne Rechte geben würde, wäre das eine schwere Sicherheitslücke. Selbst auf Datenträgern, die gar keine Rechte speichern können (wie MS-DOS/FAT), wird mit simulierten Rechten gearbeitet.

Der Finder ist technisch überhaupt nicht in der Lage, die tatsächlichen Rechte anzuzeigen, die den Ordner "Geteilt" so besonders machen.

Auch das sollte man nicht tun. Dadurch würde eine SMB-Netzwerkfreigabe für diesen Ordner eingerichtet. An den Rechten ändert sich überhaupt nichts.

Das lässt sich im Finder nicht einstellen. Das geht nur über die Unix-Befehlszeile oder mit Drittanbieterprogrammen:

1. Lege eine Benutzergruppe an, die die betroffenen Benutzer als Mitglieder enthält.
2. Lege einen neuen Ordner an und stelle den Gruppeneigentümer auf die Gruppe aus Punkt (1).
3. Erstelle an diesem Ordner einen Zugriffssteuerungseintrag für diese Gruppe, die dieser Gruppe die Rechte "auflisten, durchqueren, lesen, Erweiterte Attribute lesen, Zugriffsrechte lesen, Dateien anlegen, Ordner anlegen, löschen, Unterobjekte löschen, Attribute schreiben, Erweiterte Attribute schreiben" sowie automatische Vererbung mit den Einstellungen "auf diesen Ordner, auf Unterordner, auf enthaltene Dateien, auf alle Unterobjekte anwenden" gewährt.

Wow, hört sich nach der Lösung an.
Ich habe zwar keine Angst vor der Unix-Befehlszeile, aber Profi bin ich da nicht.
Könnte ich eine Schritt für Schritt (Befehl für Befehl) Anleitung bekommen? Vielleicht per PM

PythagorasTraining
Du könntest einfach Marcel unterstützen und mal nach Tinkertool oder Tinkertool System suchen Eines von beiden hat eine Möglichkeit, das per GUI zu steuern. Früher ging das auch mit der Serverapp von Apple. Andere Alternativen mit GUI sind mir leider nicht bekannt. Wer doch eine kennt, nur her damit

Oh! Na, dann schau ich mal nach den Tools

Hallo PythagorasTraining,
ich hatte ein ähnliches Problem mit einer virtuellen Maschine in Parallels.
Da gibt es eine einfache Lösung von Parallels dazu unter .
Du nutzt wie schon zuvor empfohlen den Benutzer "Shared" und legst da einen entsprechenden Ordner an.
Danach musst Du im Terminal
cd /Users/Shared/DEIN ORDNER
eingeben, und danach
sudo chmod -R og+rwx //Users/Shared/DEIN ORDNER
Aber am Besten Du liest Dir den Supportartikel (Methode 2) mal kurz durch .
Gruß Roland

Um Himmels willen, bloß nicht!

Ich weiß nicht, ob Du den Befehl falsch abgetippt hast, aber so, wie er da stets, werden die gesamten Zugriffsrechte von macOS zerstört. Das ist tödlich!

[Zur Erläuterung für meinen Warnschrei: / ist der Startpunkt des Bootvolumes, wenn man das so eingibt, werden also die Nutzerrechte der gesamten macOS-installation geändert (soweit das Apples Sicherheits-Mechanismen nicht verhindern).]
OK, jetzt ist es besser, aber nicht gut.

ist völlig überflüssig, wenn Du danach den kompletten Pfad für die Änderung angibt:
Wenn Du durch den cd-Befehl bereits in DEIN ORDNER bist, reicht auch

Allerdings, wenn Dein Ordnername tatsächlich ein Leerzeichen enthält so wie DEIN ORDNER, funktioniert auch das nicht, da Du Leerzeichen im Terminal mit \ markieren musst, damit Terminal sie nicht für das Ende des Parameters hält. Die Eingabe müsste also lauten:

Aber auch dann ist der Befehl alles andere als optimal. Denn das o in og+rwx steht für other und erteilt folglich jedem x-beliebigen Hannepampel auf Deinem Mac Schreibrechte. Viel besser wäre, die Schreibrechte auf die Gruppe (g) zu beschränken, alle Dateien in dem Ordner einer dafür in den Systemeinstellungen angelegten Gruppe zuzuordnen und alle, die schreiben können sollen, in diese entsprechende Gruppe aufzunehmen.

Und das x (für execute = ausführen/starten) darf nur Ordnern vergeben werden, aber nicht Dateien, die macOS sonst für Programme hält, was das Ganze nochmals komplizierter macht.

Ehrlich, wenn man sich mit Unix so wenig auskennt, sollte man davon die Finger lassen und eine App wie die von Marcel Bresink bemühen.

Den Leuten bei Parallels, die diesen Ratschlag verbrochen haben, sollte man jedenfalls lebenslang die Schreibrechte im Internet entziehen.

Ich gehe mal davon aus, dass die Sekretärin via Netzwerk von einem anderen Mac aus auf die Daten zugreift.

Das letzte Mal, als ich mich um sowas kümmern musste, war bei El Capitan, und da wurden ACLs bei Netzwerkzugriff ignoriert. Ist das denn mittlerweile gefixt?

Hallo Weia, danke erst mal.

Ja, die Sekretärin greift per Remote auf den Rechner zu.

Ich werde mich mal mit dem TinkerTool befassen. ... Oder TinkerTool System. Welches ist das richtige?

TinkerTool System → ACL-Rechte

Auf Server-Seite wurden ACLs noch nie ignoriert.

Ob sie auf Client-Seite sichtbar oder sogar änderbar sind, hängt vom Protokoll (SMB, AFP, NFS) und von der Implementation des Servers ab.

Ich weiß jetzt nicht genau, wie Du Server- und Client-Seite unterscheidest, das hängt ja zusammen.

Bei El Capitan (Server wie Client) gab es definitiv das Problem bei jemandem, dass trotz ACL-Gruppenschreibbbarkeit ein Remote geöffnetes Dokument von der Remote-App (Cocoa-Apps wie die iWork-Programme) trotz korrekter Gruppenzugehörigkeit des Nutzers auf dem Server-Mac nicht wieder abgespeichert werden konnte.

Auf dem Server-Mac selbst, der zugleich ebenfalls als ein Client fungierte, funktionierte ACL hingegen so, wie es sollte.

Zugriff war entweder AFP oder SMB, das erinnere ich jetzt leider nicht mehr genau. Ich meine, weder das eine noch das andere funktionierte.

Ich habe da wochenlang mit rumgekämpft, das wüsste ich, wenn es das Problem gar nicht gegeben hätte.

Ist ja prima, wenn das Problem jetzt nicht mehr existiert.

👍🏼

Nur zur Info:
Ich konnte das Problem mit TinkerTool System lösen.
Nochmal dank für eure Hilfe. 👍🏼