ACL Rechte für die Sambafreigaben definieren

Nach der erfolgreicher Samba Installation müssen wir noch die Access Control List (ACL) definieren.

Unsere Server Daten (fs1)

Betriebssystem: Debian 11
Servername: fs1
Domäne: schule.lan
IP-Adresse: 172.16.0.5
Netmask: 255.255.252.0
Gateway: 172.16.0.1
DNS: 172.16.0.10

Unsere Freigaben. Vorübergehend ändern wir browseable auf Yes, das erleichtert uns das Setzten der ACLs

[home]
   comment = Home Ordner
   path = /data/home
   read only = no
   browseable = Yes

[Profiles]
   path = /data/profiles
   read only = no
   browseable = Yes

[Marktplatz]
   path = /data/marktplatz
   comment = Schuldaten
   read only = no
   browseable = yes

Punkt
Wir starten ein Windows 10 PC, der schon in der Domäne ist. Danach starten wird Windows Explorer und unter Adresse schreiben wir \\FS1. Es werden drei Freigaben aufgelistet, die wir unter Samba definiert haben. Die Freigaben haben verschiedene Funktionen und Aufgaben, deshalb müssen wir unterschiedliche ACL definieren.

 

Punkt
Die home Freigabe.
Wir klicken mit der rechten Maustaste auf die Freigabe und klicken auf "Eigenschaften". Weiter klicken wir auf den Reiter "Sicherheit" und auf die Schaltfläche "Erweitert" und dann deaktivieren wir die Vererbung. Die Gruppe "Domain Admins" wird zugefügt und der Gruppe geben wir volle Zugriffsrechte. Die anderen Benutzer bzw. Gruppen werden entfernt. Den Besitzer des Ordners ändern wir auf SCHULE\Administrator und alles bestätigen wir mit OK.

 

Diesen Ordner sollten alle Domänen-Benutzer lesen können, aber nur diesen Ordner. Es wird die Gruppe Domain Users eingefügt. Die Leseberechtigung wird nur für diesen Ordner angepasst. Damit wären die Arbeiten abgeschlossen.

Jetzt könnten wir bei den Benutzern Einstellungen das Home Laufwerk definieren und den Pfad des Home-Laufwerks eintragen. In unserem Fall wäre es \\fs1\home\%USERNAME%

Punkt
Die Profiles Freigabe.
Das Setzten der Berechtigungen für diesen Share ist ein bisschen aufwendigen. Der Ordner für das Profil des Benutzers wird erst angelegt, wenn sich der Benutzer anmeldet.  Zuerst deaktivieren wir die Vererbung und ändern den Besitzer des Ordners \\fs1\profiles auf SCHULE\Administrator , so wie bei der Freigabe home. Zuletzt bestätigen wir es mit OK.

Übersicht der Berechtigungen

Berechtigungen für Share Profiles
ERSTELLER-BESITZER
Vollzugriff
Nur Unterordner und Dateien
SYSTEM
Vollzugriff
Dieser Ordner, die Unterordner und Dateien
Domain Admins
Vollzugriff
Dieser Ordner, die Unterordner und Dateien
Domain Users
Ordner auflisten/Daten lesen 
(Erweiterte Berechtigungen)
Ordner erstellen/Daten anfügen
Nur dieser Ordner

 

ERSTELLER-BESITZER Zugriffsberechtigung auf das Share "Profiles"

SYSTEM und Domain Admins bekommen volle Zugriffsrechte.

Die Zugriffsberechtigung für Domain Users müssen wir anpassen

Grundlegende Berechtigungen

Erweiterte Berechtigungen.

 

Wenn die Profile auf dem Server gespeichert sein sollen, dann können wir den in den Benutzereinstellungen den Pfad eintragen. In unserem Fall wäre es \\fs1\profiles\%USERNAME%\default

Punkt
Die Marktplatz-Freigabe.
Die Berechtigungen können wir nach unseren Bedürfnissen definieren. Standardmäßig werden zwei Änderungen der Freigabe gemacht, die Vererbung wird deaktiviert und der Besitzer der Freigabe wird auf SCHULE\Administrator geändert. Die Domain Admins sollten voll Zugriff haben.
Wir können der Freigabe die Gruppe Domain Users bzw. jeder andere Gruppe einfügen und die Zugriffsberechtigung definieren.