Gruppenzugriffsrechte

Vom Wurzelverzeichnis an werden zunächst ausschließlich NTFS-ACL's („NTFS Security Style“ für das Volume) verwendet, da der überwiegende Teil der Zugriffe von CIFS-Clients zu erwarten ist. Bei Bedarf werden für die Verwendung von NFS4-ACL's andere Volumes mit dem entsprechenden „UNIX Security Style“ in den Pfad integriert, z.B. für:

  • Zugang vorwiegend durch NFS
  • Zugriff durch Webserver (Instituts-Webseiten)
  • andere Massenzugriffe, welche die DC durch Anfragen zur Evaluierung von Zugriffsrechten überlasten könnten (kann natürlich auch bei den OpenLDAP-Servern passieren)

Der ACL-Typ wird auf Volume-Ebene festgelegt und kann vom Nutzer nicht verändert werden. Die Benutzung des gesamten Baums ist sowohl mit CIFS als auch mit NFS möglich.

/  urzsadm:  This folder, subfolder and files
|            Full control
|  Jeder:    This folder, subfolder and files
|            Traverse folder / execute file
|            List folder / read data
|            Read Attributes
|            Read extended attributes
|            Read permissions
|
+-group  Geerbte Rechte
|  |
|  |
|  +-feit  Geerbte Rechte
|  |  |
|  |  |
|  |  +-iesy  Abbruch der Vererbung
|  |  |  |    urzsadm:   This folder, subfolder and files
|  |  |  |               Full control
|  |  |  |    urzadmin:  This folder, subfolder and files
|  |  |  |               Read
|  |  |  |    iesy:      This folder only
|  |  |  |               Traverse folder / execute file
|  |  |  |               List folder / read data
|  |  |  |               Read Attributes
|  |  |  |               Read extended attributes
|  |  |  |               Read permissions
|  |  |  |               Create files / write data
|  |  |  |               Create folders / append data
|  |  |  |    iesy:      Subfolder and files only
|  |  |  |               Modify
|  |  |  |    iesy-dvba: Subfolder and files only
|  |  |  |               Full control
|  |  |  |    Jeder:     This folder only
|  |  |  |               Read
|  |  |  |    Owner:     Subfolder and files only
|  |  |  |               Explizit keine Rechte
|  |  |  |    Die Nutzer in der Gruppe iesy können nichts am Verzeichnis iesy
|  |  |  |    ändern. Unterhalb des Verzeichnisses können sie beliebig Files
|  |  |  |    und Directories anlegen, ändern und löschen. Sie erhalten
|  |  |  |    nicht das Recht, ACLs zu setzen.
|  |  |  |    Der DV-Beauftragte des Instituts erhält Vollzugriff auf alles
|  |  |  |    unterhalb von iesy. Er kann damit ACLs setzen und auch änderen
|  |  |  |    Nutzern das Setzen von ACLs erlauben.
|  |  |  |    Jedermann kann den Inhalt des Folders iesy auflisten. Das Lesen
|  |  |  |    von Dateien und das Auflisten der Unterverzeichnisse durch
|  |  |  |    jedermann ist nur möglich, wenn deren ACL explizit geändert
|  |  |  |    wurde.
|  |  |  |    Die Gruppe urzadmin erhält rekursiv Lesezugriff.
|  |  |  |    Mit den eingeschränkten Rechten für Owner wird vermieden, dass
|  |  |  |    ein Nutzer nach dem Wechsel in ein anderes Institut weiterhin
|  |  |  |    auf seine Daten im alten Institut zugreifen kann.
|  |  |  |    Durchsetzbar ist dieses Verhalten nur, wenn die Mitglieder des
|  |  |  |    Instituts nicht die ACLs setzen können und der DV-Beauftragte
|  |  |  |    verantwortungsvoll agiert.
|  |  |  |    
|  |  |  |    
|  |  |  +-public  Zusätzlich zu den geerbten Rechten
|  |  |  |         Jeder: This folder, subfolder and files
|  |  |  |                Read
|  |  |  |         Folder zum Ablegen von zu veröffentlichenden Dokumenten.
|  |  |  |         Damit vermeiden wir das ständige Ändern von ACLs auf
|  |  |  |         anderen Pfaden für diesen Zweck. Eventuell ergeben sich
|  |  |  |         noch andere Schemata für solche allgemeinen Verzeichnisse.
|  |  |  |         Der Folder kann von den Mitgliedern des Instituts umbenannt
|  |  |  |         oder gelöscht werden.