ACL Rechte für die Sambafreigaben definieren
Nach der erfolgreicher Samba Installation müssen wir noch die Access Control List (ACL) definieren.
Unsere Server Daten (fs1)
Betriebssystem: Debian 11
Servername: fs1
Domäne: schule.lan
IP-Adresse: 172.16.0.5
Netmask: 255.255.252.0
Gateway: 172.16.0.1
DNS: 172.16.0.10
Unsere Freigaben. Vorübergehend ändern wir browseable auf Yes, das erleichtert uns das Setzten der ACLs
[home]
comment = Home Ordner
path = /data/home
read only = no
browseable = Yes
[Profiles]
path = /data/profiles
read only = no
browseable = Yes
[Marktplatz]
path = /data/marktplatz
comment = Schuldaten
read only = no
browseable = yes
Wir klicken mit der rechten Maustaste auf die Freigabe und klicken auf "Eigenschaften". Weiter klicken wir auf den Reiter "Sicherheit" und auf die Schaltfläche "Erweitert" und dann deaktivieren wir die Vererbung. Die Gruppe "Domain Admins" wird zugefügt und der Gruppe geben wir volle Zugriffsrechte. Die anderen Benutzer bzw. Gruppen werden entfernt. Den Besitzer des Ordners ändern wir auf SCHULE\Administrator und alles bestätigen wir mit OK.
Diesen Ordner sollten alle Domänen-Benutzer lesen können, aber nur diesen Ordner. Es wird die Gruppe Domain Users eingefügt. Die Leseberechtigung wird nur für diesen Ordner angepasst. Damit wären die Arbeiten abgeschlossen.
Jetzt könnten wir bei den Benutzern Einstellungen das Home Laufwerk definieren und den Pfad des Home-Laufwerks eintragen. In unserem Fall wäre es \\fs1\home\%USERNAME%
Das Setzten der Berechtigungen für diesen Share ist ein bisschen aufwendigen. Der Ordner für das Profil des Benutzers wird erst angelegt, wenn sich der Benutzer anmeldet. Zuerst deaktivieren wir die Vererbung und ändern den Besitzer des Ordners \\fs1\profiles auf SCHULE\Administrator , so wie bei der Freigabe home. Zuletzt bestätigen wir es mit OK.
Übersicht der Berechtigungen
(Erweiterte Berechtigungen)
Ordner erstellen/Daten anfügen
ERSTELLER-BESITZER Zugriffsberechtigung auf das Share "Profiles"
SYSTEM und Domain Admins bekommen volle Zugriffsrechte.
Die Zugriffsberechtigung für Domain Users müssen wir anpassen
Grundlegende Berechtigungen
Erweiterte Berechtigungen.
Wenn die Profile auf dem Server gespeichert sein sollen, dann können wir den in den Benutzereinstellungen den Pfad eintragen. In unserem Fall wäre es \\fs1\profiles\%USERNAME%\default
Die Berechtigungen können wir nach unseren Bedürfnissen definieren. Standardmäßig werden zwei Änderungen der Freigabe gemacht, die Vererbung wird deaktiviert und der Besitzer der Freigabe wird auf SCHULE\Administrator geändert. Die Domain Admins sollten voll Zugriff haben.
Wir können der Freigabe die Gruppe Domain Users bzw. jeder andere Gruppe einfügen und die Zugriffsberechtigung definieren.