Hallo Florian,

On 10/27/06, Christian Neumeier <[EMAIL PROTECTED]> wrote:
Hallo,

auf meinem Samba-Server habe ich eine Freigabe data erstellt
/etc/samba/smb.conf:

[data]
   comment = pictures music movies
   path = /mnt/data
   guest ok = no
   writeable = yes

in der Freigabe habe ich einige Verzeichnisse angelegt und ACL´s definiert
hier die Rechtevergabe und die ACL´s(alle Verzeichnisse gleich)

Debian:/mnt/data# ls -la
insgesamt 48
drwxr-xr-x  6 root root  4096 2006-10-02 11:08 .
drwxr-xr-x  4 root root  4096 2006-09-25 19:37 ..
drwx------  2 root root 16384 2006-09-22 12:27 lost+found
drwxrws---+ 2 root root  4096 2006-10-02 17:42 movies
drwxrws---+ 3 root root  4096 2006-10-20 16:40 music
drwxrws---+ 2 root root  4096 2006-10-02 12:55 pictures
Debian:/mnt/data# getfacl pictures
# file: pictures
# owner: root
# group: root
user::rwx
group::rwx
group:smb-ms-admin:rwx
group:smb-poweruser:rwx
group:smb-user:rwx
mask::rwx
other::---
default:user::rwx
default:group::rwx
default:group:smb-ms-admin:rwx
default:group:smb-poweruser:rwx
default:group:smb-user:rwx
default:mask::rwx
default:other::---

Nun habe ich von Windows aus eine Datei auf das Samba-Share kopiert und dann mit 
Rechtsklick->Eigenschaften->Sicherheit die Zugriffsrechte der Gruppe 
smb-ms-admin komplett gelöscht!
dann der Test ob das löschen der ACL funktioniert hat :

Debian:/mnt/data/pictures# getfacl *
# file: IMG_3380.JPG
# owner: christian
# group: root
user::rwx
group::rwx
group:smb-poweruser:rwx
group:smb-user:rwx
mask::rwx
other::r--

Nun im Windows einen Benutzerwechsel zu Admin, nun sollte ich die Datei noch 
nicht mal sehen können, aber ich kann sie sehen/ausführen/umbenennen/löschen!!!

Entweder der Benutzer Admin ist Mitglied einer der Domänenruppen, die
über Samba auf die Unixgruppen smb-poweruser, smb-user oder root
gemapped werden.
Oder kann es vielleicht sein, dass du dich als lokaler Admin auf dem
Windowsrechner angemeldet hast, und dann das Samba-Share als ein
Benutzer gemountet hast, der in einer Domänengruppe ist, die rwx auf
das Verzeichnis hat? Wenn nicht, dann poste bitte die Domänengruppen,
in denen der DEINEDOMAIN\Admin ist und auf welche Unixgruppen die
Domänengruppen des DEINEDOMAIN\Admin gemapped werden.


Und noch eine Kleinigkeit, die Hauptordner(music, pictures, movies) können und 
sollen auch nicht gelöscht werden, jedoch wenn ich versuche die Hauptordner zu 
löschen schlägt dies zwar fehl, aber es wird der komplette Inhalt der Ordner 
gelöscht.

Wie kann ich das verhindern?

Indem du auf alle Ordner über Dateien, die nicht gelöscht werden
sollen, die Schreibrechte entziehts; ist aber glaube ich nicht das,
was du willst.

Ansonsten: Wenn jemand, der Löschen darf, einen Ordner löscht, dann
ist es verständlich, dass alle darunterliegenden Dateien gelöscht
werden, da du lediglich verhinderst, dass der Ordner selbst gelöscht
wird.

Antwort per Email an