Probleme mit Dateiberechtigungen (Klassenordner)

Hallo Leute,

ich mal wieder. ich bin gerade dabei Dateien von unserer alten Lösung zu LMN umzuziehen. Allerdings habe ich ein Problem bei den Klassenordnern bzw. den dazugehörigen Berechtigungen.
Ich habe zusätzlich zu meinem Admin Account auch einen Lehrer Account angelegt. Mit diesem Lehrer Account habe ich mich bei einigen Klassen eingeschrieben über die WebUI.

Wenn ich mich mit diesem Lehrer Account bei Windows anmelde und über das Tauschlaufwerk auf Klassen gehe sehe ich 1. ALLE Klassenordner, nicht nur die für die ich mich eingeschrieben habe. Soweit ich weiß sollten nur die Klassen bei denen ich eingeschrieben bin sichtbar sein (da bin ich aber nicht 100% sicher) und 2. Habe ich anscheinend keine Rechte für die Klassen für die ich mich eingeschrieben habe.
Ich habe zum testen über die Kommandozeile Dateien in einen der Klassenordner eingefügt, sehe diese jedoch nicht. Ich vermute das liegt an den Berechtigungen, da ich die Dateien als Root kopiert habe, also funktioniert die generelle Abfrage der Rechte schonmal.
Ich habe bereits mit diversen sophomorix-repair optionen versucht die Berechtigungen zu fixen, dies hat jedoch keine Abhilfe geschafft.
Hat jemand eine Idee welche Logs ich durchkämmen muss oder noch besser was ich tun kann um das Problem zu lösen?

Viele Grüße
Der Hoches

Hallo de Hoches,

Ich habe zum testen über die Kommandozeile Dateien in einen der
Klassenordner eingefügt, sehe diese jedoch nicht. Ich vermute das liegt
an den Berechtigungen, da ich die Dateien als Root kopiert habe, also
funktioniert die generelle Abfrage der Rechte schonmal.

… du hast die Daten der alten Musterlösung durch händisches Kopieren
auf der Kommandozeile „als root“ kopiert?

Das ergibt mit Sicherheit unbenutzbare Daten im samba Bereich.
Do darf man das nciht machen.
Es gibt extra Tools für die Migration die man benutzen muss.
Hintergrund ist, dass die Berechtigungen auf der commandozeile
(Besitzer, Gruppe,Alle) vie zu unterkomplex sind für das, was samba
daraus macht.
Es gibt also im samba Berechtigungen und Besitzer, die weitreichender
sind als das, was direkt im Dateisystem gegeben ist.
Du hast aber komplett am samba vorbei die Dateien da hin kopiert: es
wäre mir nicht bekannt, dass man das irgend wie mal schnell wieder
reparieren könnte (mit sophomorix-repair und irgend einem Schalter).

Meine Empfehlung: nochmal zurückgehen auf den Stand vor dem Kopieren
(einfaches löschen vernichtet auch die Verzeichnisstrucktur, deren
Rechte durch das Kopieren eventuell auch beschädigt wurden) und dann die
Daten wie vorgesehen migrieren (unter Einbindung von samba).

LG

Holger

Juhu Holger,

Das händische Kopieren habe ich erst gemacht als ich gemerkt habe, dass Ich als eingeschriebener keine Rechte in dem Ordner habe.
Wir hatten vorher kein LMN, sondern Skool. Ich habe die Dateien in einen share auf unserer NAS übertragen lassen, weil ich keinen Dateisystemzugriff auf den alten Server bekommen habe (Frag nicht :sleepy:) Die Ordner, in die ich die alten Dateien verschieben will wurden alle durch das Anlegen der Klassen erstellt und waren bis zu meinem Kopieren „Jungfräulich“.
Das kopieren der „Eigenen Dateien“ von den Lehrern lief problemlos (Das hab ich allerdings als Admin gemacht) und ich kann die Dateien auch mit dem entsprechenden Benutzer unter Windows öffnen und bearbeiten. Bei Laufwerk H gibt’s also keine Probleme.

Das Problem um das es hier geht ist, dass ich in keinem der Klassenordner für die ich eingeschrieben bin, irgendetwas sehen geschweige denn tun kann (Unterordner anlegen, Dateien erstellen/bearbeiten) Das wäre ziemlich doof. Weil wenn ich das mit meinem eingeschriebenen Leherer Account nicht kann, kann das später der Klassenlehrer auch nicht.

Edit: Noch nicht mal Globaler Admin kann ich in die Ordner Schreiben von Windows aus

Edit2: Ums nochmal genauer auszudrücken: Die Ordner um die es geht wurde vom Server automatisch erstellt als ich die Schülerliste importiert habe. Ich habe diese Klassenordner nicht per Hand angelegt. Ich hoffe diese Info hilft

Hallo,

Das Problem um das es hier geht ist, dass ich in keinem der
Klassenordner für die ich eingeschrieben bin, irgendetwas sehen
geschweige denn tun kann (Unterordner anlegen, Dateien
erstellen/bearbeiten) Das wäre ziemlich doof. Weil wenn ich das mit
meinem eingeschriebenen Leherer Account nicht kann, kann das später der
Klassenlehrer auch nicht.

wer hat die Dateien von wo wohin und mit was kopiert?

LG

Holger

Also: Ziel ist es die Datein aus der alten Lösung (Skool), die jetzt in einem Sambashare auf dem Nas liegen über einen Windowsclient (in LMN eingebunden) mit meinem Lehreraccount in die Klassenordner zu kopieren. Der Lehreraccount ist in den entsprechenden Klassen eingeschrieben.

Beispiel: [Nas_Ordner]\Klasse 10b -> T:\classes\10b

Die Rechte aller Unterordner in T:\classes\ sind allerdings falsch gesetzt. Diese Ordner wurden beim importieren der Schülerliste vom System erstellt. Ich vermute, dass die Rechte falsch bzw. nicht gesetzt wurden weil wenn ich im Windows Explorer die Eigenschaften vom Ordner T:\classes anschaue im Reiter „Sicherheit“ Gruppen „admins,students,teachers und global-admins“ stehen, der Ordner T:\classes\[Klassenname] jedoch „Jeder, Ersteller-Besitzer,Erstellergruppe,domain admins und domain users“ eingetragen hat und diese haben darüber hinaus keinen einzigen Haken bei den Berechtigung haben. Zum einen müssten die Schüler in ihren entsprechenden Klassen zumindest eine Leseberechtigung haben und zum anderen müsste, wenn ich einen Lehrer zur Klasse einschreibe (oder Sie sich selbst einschreiben) deren Benutzer in den Berechtigungen auftauchen müssten, oder irre ich mich da?

Hallo,

… es wurde also noch nichts kopiert …

Die Rechte aller Unterordner in |T:\classes| sind allerdings falsch
gesetzt. Diese Ordner wurden beim importieren der Schülerliste vom
System erstellt. Ich vermute, dass die Rechte falsch bzw. nicht gesetzt
wurden weil wenn ich im Windows Explorer die Eigenschaften vom Ordner

T:\classes| anschaue im Reiter „Sicherheit“ Gruppen
„admins,students,teachers und global-admins“ stehen, der Ordner
T:\classes[Klassenname]| jedoch „Jeder,
Ersteller-Besitzer,Erstellergruppe,domain admins und domain users“
eingetragen hat und diese haben darüber hinaus keinen einzigen Haken bei
den Berechtigung haben. Zum einen müssten die Schüler in ihren
entsprechenden Klassen zumindest eine Leseberechtigung haben und zum
anderen müsste, wenn ich einen Lehrer zur Klasse einschreibe (oder Sie
sich selbst einschreiben) deren Benutzer in den Berechtigungen
auftauchen müssten, oder irre ich mich da?

ja, so sollten die Berechtigungen sein.

Von wann ist den die Installation?
Ist sie auf aktuellem Stand?
Hast du mal
sophomorix-repair --all
gemacht?
(siehe sophomorix-repair --help )

LG

Holger

Ein weiteres mal springt sophomorix-repair --all zur Rettung. Ich hatte sophomorix-repair --school versucht, weil ich dachte da der tauschordner ja ein unterordner der Schule ist, dass es berücksichtigt wird und ich nicht mit „Kanonen auf Spatzen“ schießen wollte.
Mein Aktuelles Problem ist also beseitigt.
ABER: Ich weiß, dass ich an diesen Ordner nicht Rumgedoktort habe. Sie wurden also beim erstellen ohne die entsprechenden Rechte angelegt. Ich werde mal einen Blick auf die entsprechenden Routinen auf Github werfen und schauen ob ich was auffälliges finde.

Danke für die Zeit Holger!

Hallo Kevin,

hast du eigentlich schon mal:

sophomorix-school --gpo-create

ist meist default-school

ausgeführt?

LG

Holger

Per Hand glaube ich nicht. Es gibt aber eine GPO für die default school, die auch entsprechende sinnvolle Richtlinien enthällt, also bin ich davon ausgegangen, dass diese beim Setup erstellt wurde.
Wird beim ausführen des Befehls eine „bessere“ erstellt?

Hallo Kevin,

Per Hand glaube ich nicht. Es gibt aber eine GPO für die default school,
die auch entsprechende sinnvolle Richtlinien enthällt, also bin ich
davon ausgegangen, dass diese beim Setup erstellt wurde.

… davon gehe ich auch aus.
Also ich meinen server damals (vor sehr langer Zeit) auf die 7 migriert
hatte fehlte der Schritt noch (war auch Alpha damals).
Ob der inzwischen im normalen Setup ist weiß ich nciht: deswegen die
Nachfrage.

Wird beim ausführen des Befehls eine „bessere“ erstellt?

… das denke ich nicht.
In jedem Fall werden die alten geschreddert.
Das ist auch gut so, da man mit GPOs die Domäne ja auch schnell
unbrauchbar machen kann :slight_smile:

LG

Holger