Ik heb MCEBuddy ingesteld om TV-opnames van Emby op een netwerkopslag te converteren met UNC-paden. De conversies werken goed. Echter, na voltooiing zijn de groepstoegangsinstellingen onvolledig. Het binnenkomende bestand heeft volledige toegangsrechten voor een gebruiker genaamd “admin” en de groepen “wheel” en “admin” (ja, “admin” is zowel een gebruiker als een groep). Het geconverteerde bestand heeft volledige toegangsrechten voor gebruiker “admin” en groep “wheel”. Toegangsrechten voor groep “admin” ontbreken. Hoe voeg ik deze automatisch toe na verwerking?
MCEBuddy vertelt Windows om de machtigingen voor het doelbestand over te nemen van het bronbestand. Als de doelmap niet dezelfde overerfingsmachtigingen heeft als de bron, dan wordt het mogelijk niet door Windows overgenomen.
In mijn geval is de doelmap dezelfde als de bronmap, en de map heeft dezelfde machtigingen als het bestand, d.w.z. zowel de groep “wheel” als “admin” hebben volledige toegang. Toch mist het geconverteerde bestand de machtigingen van de “admin”-groep. Het klinkt alsof dit afwijkt van hoe het zou moeten werken, maar misschien overzie ik iets.
U hebt de bovenliggende map nodig om overgeërfde groepsrechten toe te passen, niet alleen eigenaarsrechten.
In een Unix/Linux-besturingssysteem (dit klinkt als BSD, met een “wheel”-groep), moet de bovenliggende map de setgid-permissiebit hebben ingesteld, niet alleen de setuid-bit. Raadpleeg de hulp voor het chmod-commando en de setgid-permissie.
De share is ingesteld op een FreeNAS-server via de samba-service. Ik heb ACL-machtigingen voor de dataset binnen FreeNAS ingesteld voor de groep “admin” op “Full Control” en de vlaggen op “inherit”. Het is mijn begrip dat ik, zodra ACL-machtigingen zijn ingesteld, niet met chmod zou moeten rommelen.
EDIT: Betekent het feit dat het .ts-opnamebestand alle machtigingen heeft niet dat de groepsovererving aan de Windows-kant prima werkt? Alleen nadat MCEBuddy het bestand verwerkt en terugkopieert naar de bronmap kloppen de machtigingen niet. Ik zeg niet dat ik niets verkeerd doe, maar ik begrijp het in ieder geval niet. Ik ben ook terughoudend met te ruimhartig command line-werk, omdat ik bang ben de server te beschadigen.
Ah. Het kan zijn dat MCEBuddy een “verplaats” of “hernoem” bewerking uitvoert vanuit de tijdelijke verwerkingsmap, en dat het bestand dus de standaardinstellingen van die map behoudt wanneer de “verplaatsing” gebeurt.
Dat zou anders zijn dan wanneer MCEBuddy een “kopieer” bewerking uitvoert, waardoor er dubbel zoveel ruimte nodig zou zijn voor mogelijk erg grote bestanden.
Misschien kun je de rechten controleren op je tijdelijke mappen waar MCEBuddy de tijdelijke bestanden verwerkt.
Wat u voorstelt is logisch. Echter, ik slaag er niet in om machtigingen toe te voegen aan de tijdelijke verwerkingsmap voor de groep “admin” op de FreeNAS-server, omdat de server niet wordt herkend als een geldige Windows-netwerkmachine. Met andere woorden, hij verschijnt niet als een computer onder “netwerk” in Windows Verkenner. En wanneer ik probeer beveiligingsmachtigingen voor de groep toe te voegen, kan ik de server niet selecteren onder “Locaties” in de eigenschappen van het bestand → beveiliging → toevoegen-venster.
Dus nadat ik Windows Server heb verlaten voor FreeNAS, gebruik ik geen Active Directory meer en het lijkt erop dat dit de reden is waarom ik geen machtigingen meer kan toevoegen voor netwerkgebruikers. Voor werkgroepen lijkt de aanpak te zijn om de groepen en gebruikers opnieuw te creëren op de lokale machine. Hier ben ik gefaald omdat Windows me niet toelaat om een groep “admin” te maken met dezelfde naam als de gebruiker “admin”. Misschien is dit wat het probleem veroorzaakt. Als dit het geval is, ben ik een beperking van het Windows OS tegengekomen en zal ik moeten leven met de incorrecte machtigingen.
Heb je je FreeNAS uiteindelijk zichtbaar gekregen als server op je netwerk nadat AD was verwijderd?
Er kunnen allerlei AD-groepsbeleidsregels actief zijn op je Windows-clients die je niet meer kunt benaderen (omdat AD verdwenen is en er geen PDC meer is), ook al zijn ze teruggevallen op SMBv2.
Ik host zelf een vergelijkbaar Samba/NAS-netwerk zonder AD met Windows Home-clients via mijn ASUS-router en die ondersteunt geen SMBv2. Dus moet ik op elke client SMBv1 inschakelen wil de router “zichtbaar” zijn. Zou het iets vergelijkbaars kunnen zijn?
Je NAS moet nu ook een PDC draaien als je hem als drop-in vervanger voor AD wilt gebruiken, maar ik denk niet dat ze AD volledig kunnen vervangen, aangezien AD ook veel meer op de clients beheert dan alleen permissies voor bestanddelen.
Je kunt de GPedit- en ACL-tools van je Windows Server pakken (gewoon de executables) en kijken of die je helpen zien hoeveel AD-spul is achtergebleven en mogelijk dingen in de weg zit. Ik had zelf problemen toen ze HomeGroups afschaften (een soort AD-lite voor Windows Home) en teruggingen naar het basismodel van een werkgroep, omdat allerlei permissies en functies verdwenen, maar hun ACL’s en registervermeldingen bleven bestaan.
Want in Microsoft’s wereld bestaat er niets om een alternatief of AD-vervanger te migreren, aangezien dat niet bestaat. Daarom is er ook geen code nodig om een soepele migratie of overgang naar een niet-Microsoft-product te maken. Of om iets te schrijven dat opruimt nadat je een Microsoft Server uit je netwerk haalt, want dat is voor hen geen geldige use-case (in Microsoft’s wereld).
De FreeNAS-server was nooit verbonden met AD. Ik verving een Windows Server 2012 Essentials door de clients van het domein te verwijderen en de FreeNAS-server aan het netwerk toe te voegen. Ik gebruik dus geen domeinen en AD meer. In plaats daarvan gebruik ik simpelweg dezelfde gebruikersnamen en wachtwoorden op verschillende machines, inclusief de FreeNAS-server, en ik heb geen problemen met het verbinden met de server. Dit lijkt allemaal goed te werken met SMB v2.
Het probleem lijkt te zijn dat, hoewel de gebruikersnamen/wachtwoorden overeenkomen, het lokale definities zijn en ik geen machtigingen kan toevoegen voor externe gebruikers op een lokale machine. Het lijkt erop dat dit het voordeel van een domein zou zijn, dus misschien is dit een beperking waar ik mee moet leven.
Ik ben geen problemen tegengekomen met mijn setup, behalve de beperking die hier wordt gemeld. Ik dacht dat er misschien een workaround was, maar misschien is er geen.
Ah, ik denk dat ik het begrijp. Heb je geprobeerd de machtigingen te voorzien van de naam van de externe machine (zoals een domein)? Bijvoorbeeld: om Gebruiker1 op Host1 toegang te geven tot Host2, verleen je share-machtigingen aan "Host1\Gebruiker1". Mogelijk moet je dingen escapen op de NAS, aangezien de backslash waarschijnlijk een speciaal teken is, zoals "Host1\\\Gebruiker1".