Jeg har MCEBuddy opsat til at konvertere TV-optagelser fra Emby på et netværksdrev vha. UNC-stier. Konverteringerne fungerer fint. Når de er færdige, er gruppeadgangsrettighederne dog ufuldstændige. Den indkommende fil har fulde adgangsrettigheder for brugeren “admin” og grupperne “wheel” og “admin” (ja, “admin” er både en bruger og en gruppe). Den konverterede fil har fulde adgangsrettigheder for brugeren “admin” og gruppen “wheel”. Adgangsrettighederne for gruppen “admin” mangler. Hvordan tilføjer jeg dem automatisk efter behandlingen?
MCEBuddy beder Windows om at arve tilladelserne for destinationsfilen fra kildefilen. Hvis destinationsmappen ikke har de samme arvetilladelser som kilden, kan det være, at de ikke overføres af Windows.
I mit tilfælde er destinationsmappen den samme som kildemappen, og mappen har de samme tilladelser som filen, dvs. den inkluderer både “wheel”- og “admin”-grupperne med fulde adgangstilladelser. Alligevel mangler den konverterede fil “admin”-gruppens tilladelser. Det lyder som om det afviger fra, hvordan det skulle fungere, men måske overser jeg noget.
Du har brug for den overordnede mappe for at anvende arvede gruppe tilladelser, ikke blot ejer tilladelser.
I et Unix/Linux operativsystem (dette lyder som BSD, med en “wheel” gruppe), skal den overordnede mappe have setgid tilladelsesbit sat, ikke blot setuid bit. Gennemgå hjælpen til chmod kommandoen og setgid tilladelsen.
Delingen er opsat på en FreeNAS-server ved hjælp af Samba-tjenesten. Jeg indstillede ACL-rettigheder for datasættet i FreeNAS til gruppen “admin” som “Full Control” og flag til “inherit”. Jeg har forstået det sådan, at når ACL-rettighederne først er sat, bør jeg ikke rode med chmod.
EDIT: Betyder det ikke, at det faktum, at den optagede .ts-fil har alle rettigheder, viser, at gruppearven fungerer fint på Windows-siden? Det er først efter, at MCEBuddy behandler filen og kopierer den tilbage til kildekataloget, at rettighederne er forkerte. Jeg siger ikke, at jeg ikke laver en fejl, men jeg forstår det bestemt ikke. Jeg er også tilbageholdende med at være for gavmild med kommandolinjen, fordi jeg er bange for at ødelægge serveren.
Ah. Det kan være, at MCEBuddy udfører en “flyt” eller “omdøb” operation fra den midlertidige behandlingsmappe, og så ville filen have standarderne fra den mappe, når “flytningen” sker.
Det ville være anderledes end hvis MCEBuddy udfører en “kopi”, og dermed kræver dobbelt så meget plads til hvad der kan være meget store filer.
Måske tjek rettighederne på dine midlertidige mapper, hvor MCEBuddy behandler de midlertidige filer.
Det, du foreslår, giver mening. Jeg kan dog ikke tilføje rettigheder til den midlertidige behandlingsmappe for gruppen “admin” på FreeNAS-serveren, fordi serveren ikke genkendes som en gyldig Windows-netværkscomputer. Med andre ord vises den ikke som en computer under “netværk” i Windows Stifinder. Og når jeg forsøger at tilføje sikkerhedsrettigheder for gruppen, kan jeg ikke vælge serveren under “Placeringer” i egenskaber for fil → sikkerhed → tilføj rude.
Så efter at have droppet Windows Server til fordel for FreeNAS bruger jeg ikke længere Active Directory, og det ser ud til at være grunden til, at jeg ikke længere kan tilføje tilladelser til netværksbrugere. For workgroups ser tilgangen ud til at være at genskabe grupper og brugere på den lokale maskine. Her slog jeg fejl, fordi Windows ikke lader mig oprette en gruppe “admin” med samme navn som brugeren “admin”. Måske er dette, hvad der forårsager problemet. Hvis dette er tilfældet, er jeg stødt på en begrænsning i Windows OS, og jeg må måske leve med de forkerte tilladelser.
Fik du nogensinde din FreeNAS til at være synlig som server på dit netværk, efter AD blev fjernet?
Der kan være alle mulige AD-gruppepolitikker på plads på dine Windows-klienter, som du ikke længere har adgang til (fordi AD er væk, og der ikke er nogen PDC), selvom de er faldet tilbage til SMBv2.
Jeg hoster også et lignende Samba/NAS-netværk uden AD med Windows Home-klienter via min ASUS-router, og den understøtter ikke SMBv2. Derfor er jeg nødt til at aktivere SMBv1 på hver klient, for at den kan “se” routeren. Kunne det være noget lignende?
Din NAS skal nu også køre en PDC, hvis du forsøger at bruge den som en direkte erstatning for AD, men jeg tror ikke, de kan erstatte AD fuldstændigt, da AD også håndterer meget mere på klienterne end blot fildelelsesrettigheder.
Du vil måske hente GPedit- og ACL-værktøjerne fra din Windows Server (blot eksekverbare filer) og se, om de kan hjælpe dig med at se, hvor meget AD-relateret indhold der blev efterladt, og muligvis forstyrrer tingene. Jeg havde selv problemer, da de fjernede HomeGroups (en slags AD-light til Windows Home) og gik tilbage til det grundlæggende arbejdsgruppe-model, fordi alle mulige rettigheder og funktioner forsvandt, men deres ACL’er og registry-indgange blev ikke fjernet.
For i Microsofts verden findes der intet alternativ eller AD-erstatning, og derfor findes der ikke behov for at skrive kode, der udfører en glidende migration eller overgang til et ikke-Microsoft-produkt. Ej heller at skrive noget, der rydder op, når du fjerner en Microsoft-server fra dit netværk, da det ikke er et gyldigt brugsscenarie for dem (i Microsofts verden).
FreeNAS-serveren var aldrig tilsluttet AD. Jeg erstattede en Windows Server 2012 Essentials ved at fjerne klienterne fra domænet og tilføje FreeNAS-serveren til netværket. Så jeg bruger ikke længere domæner og AD. I stedet bruger jeg simpelthen de samme brugernavne og adgangskoder på forskellige maskiner, herunder FreeNAS-serveren, og har ingen problemer med at oprette forbindelse til serveren. Det hele synes at fungere fint med SMB v2.
Problemet synes at være, at selvom brugernavne/adgangskoder matcher, er de lokale definitioner, og jeg kan ikke tilføje tilladelser for fjernbrugere på en lokal maskine. Det ser ud til, at dette ville være fordelen ved et domæne, så måske er det en begrænsning, jeg må leve med.
Jeg er ikke stødt på problemer med min opsætning ud over den begrænsning, der er rapporteret her. Jeg troede, der måske var en løsning, men måske er der ikke.
Ah, jeg tror, jeg forstår. Har du prøvet at præfikse tilladelserne med den eksterne maskines navn (som et domæne)? F.eks. for at tilføje User1 på Host1 til Host2, ville du give delekonti tilladelse til “Host1\User1”. Du bliver muligvis nødt til at escape ting på NAS’en, da backslash sandsynligvis er et specialtegn, som “Host1\\\User1”.