zfs Freigabenverwaltung mit Windows 10 klappt nicht

[esquire1968]

Hallo zusammen!

Bei mir läuft Omnios/napp-it als VM auf ESXi 6.7. Die Verwaltung der Freigaben wie auch der User und Gruppen sollte eigentlich über die Windows Computerverwaltung funktioniert. Leider klappt das bei mir nicht.

Ich kann zwar eine Verbindung mit dem entferneten Computer (storage) herstellen aber sobald ich auf <System> klicke bekomme ich eine Fehlermeldung "Der Computer "STORAGE" kann nicht verbunden werden ..." - siehe Screenshot. Dennoch sehe ich dann die Freigaben, Benutzer und Gruppen. Ich kann auch die Eigenschaften einer Freigabe öffnen, jedoch User weder unter "Freigabenberechtigung" noch unter "Sicherheit" einen User hinzufügen!

Was mache ich da falsch? Danke vorab.
Thomas

 

[gea]

Um per Windows "Computer Management" einen fremden Windows oder Solarish Computer zu managen (Freigaben, Shares, offene Dateien, angemeldete Benutzer) muss man auf diesem Admin-Rechte haben. Unter Solarish geht das folgendermassen:

Man meldet sich erst per SMB als ein User an der unter Solarish in der SMB Gruppe Administratoren ist. Dann ruft man unter Windows Computer Management auf und verbindet sich mit dem Solarish Server. Dann stehen alle Optionen zur Verfügung. (Solarish=Begriff wenn man gemeinsame Eigenschaften von Oracle Solaris und den freien Solaris Forks um Illumos beschreiben möchte)

 

[esquire1968]

Danke für die Antwort.
Wenn ich in napp-it den User "Thomas" zur Gruppe der "Aministratoren" hinzufügen möchte (Thomas ist aus der User, mit dem ich in Windows unterwegs bis) wird dann der User "Thomas@storage.home.net" als Member der Gruppe angezeigt und nicht nur "Thomas". Demanch funktioniert der Zugriff wieder nicht. Was mach ich da falsch?
Ergänzende Info: Ich verwende Workgroup und keine Domain.

Gruß
Thomas

 

[gea]

Es ist normal dass in der SMB administreators Gruppenansicht Thomas@hostname angezeigt wird. Der Zugriff aus Windows erfolgt dann als Thomas mit Adminrechten. Hat auch nichts mit AD zu tun. Auch wenn der Server Domänenmitglied ist, ist der gleiche Vorgang nötig (Connect als User der in der lokalen administrators Gruppe ist).

Im Zweifel
Server neu booten (damit alle Shares geschlossen sind)
mit net use (Netzlaufwerk verbinden) eine Verbindung als Thomas herstellen
Computer Management (Computerverwaltung) starten und mit der rechten Maustaste auf "Computerverwaltung (Local)" klicken: Verbindung mit anderem Computer herstellen, dann die ip von OmniOS eingeben. Falls eine Fehlemeldung erscheint, ignorieren und auf System > freigegebene Ordner gehen.

Funktioniert aber nur mit Pro Versionen von Windows, nicht mit Home (Home kann keine Computer Remote managen oder einer Domäne beitreten).

PS
Ist das OmniOS 151032?
Mit älteren Versionen kann es passieren dass ein aktuelles Windows 10 per Default eine Verbindung mit SMB3 versucht und das ist erst ab 151032 dabei.

 

[esquire1968]

Die Verions ist: omnios-r151032 und Windows 10 Pro

Die Anpassung der SBM Freigaben funktioniert jetzt - danke sehr!

Allerdings kann ich im Tab <Sicherheit> nicht ändern, d. h. die Berechtigungen auf Folder Ebene. Sollte das nicht mit Windows auch gehen?

Gruß
Thomas

 

[gea]

Einfach als root per SMB verbinden. Dann hat man alle Rechte auf alle Dateien. Dateirechte auf Dateien die von Thomas angelegt wurden, sollte man aber auch als Thomas ändern können.

 

[esquire1968]

Sorry, klappt nicht!

root mit folgendem Befehl verbunden ...
net use \\10.0.0.10\c$ /user:root

Verbindung mit Computerverwaltung auf 10.0.0.10 hergestellt. So bald ich auf <System> klicke kommt o. a. Fehlermeldung.
Änderung der SBM Freigaben - Reiter "Freigabenberechtigung" funktioniert. Änderung der Folderfreigaben "Sicherheit" klapt nicht - Fehlermeldung wie oben (2. Bild).

Woran kann das liegen?

Danke!

 

[gea]

Um per "Computerverwaltung" remote ein anderes (Windows oder Solarish) System zu managen (Shares, Freigaben, offene Dateien) muss der angemeldete Benutzer dort (gilt auch für root, das ist ja unter Windows nur ein normaler user) in der lokalen SMB Gruppe administrators sein. Ein Zugriff als root erlaubt einem zunächst nur den universellen Dateizugriff mit der Option ACLs zu ändern.

 

[esquire1968]

Sorry ich bekomms nicht hin.

Der User Thomas ist auf napp-it angelegt und der Gruppe administrators zugeordnet.

Der User Thomas ist am Windows 10 Rechner angelegt - Gruppe Administratoren - gleiches PW wie auf napp-it.

Freigaben mit net use gesetzt und funktionieren.

Trotzdem kann keine Änderungen bei Sicherheit machen, wohl aber bei Freigabeberechtiungen. User und Gruppen kann ich auch keine anlegen.

Gruß,
Thomas

 

[gea]

Ich bin mir nicht ganz sicher ob ich das Problem korrekt verstanden habe.

In einer Windows AD Domäne kann man auf dem AD Server Benutzer und Gruppen zentral anlegen. In einer Arbeitsgruppe nur lokal für den jeweiligen Rechner. Für das NAS also nur auf dem NAS (napp-it Menü User). Auch Shares/ Freigaben kann man nur auf dem NAS aktivieren. Das sind ja unter Solarish Eigenschaften eines ZFS Dateisystems.

Remote von Windows aus kann man nur Share und Dateirechte setzen sowie angemeldete Benutzer und offene Dateien einsehen.

 

[esquire1968]

Ist korrekt. Ich verwende keine domain, keinen SD server. NAS (napp-it) und Win10 Rechner sind in der selben Arbeitsgruppe.
Der User Thomas wurde in napp-it wie beschrieben angelegt (SMB group administrators, UNIX group adm).
Den User Thomas gibt es auch am Win10 Rechner in der Gruppe der Adminstratoren.

Ich bin davon ausgegangen, dass ich mit der Windows Computreverwaltung User und Gruppen anlegen kann (ist nicht unbedingt notwendig, kann man ja einfach mit napp-it machen).
Wichtig wäre es allerdings die Rechte zu vergeben.
Freigabenberechtigung = ACL on SMB shares
Sicherheit = ACL on folders

SMB shares kann ich mittels Computerverwaltung ändern, ALC on folder nicht! Das ist genau das Problem.

 

[gea]

Um Datei/ Ordnerrechte zu ändern verbindet man sich per SMB und klickt im Dateibrowser mit der rechten Maustaste auf eine Datei oder einen Ordner und wählt Eigenschaft > Sicherheit.

Wenn man Dateirechte beliebiger Benutzer ändern möchte, kann man sich als root anmelden. Bei einem Windows Server würde man es genauso machen.

Man sollte per Windows aber keine deny Regeln setzen da Windows zunächst deny Regeln beachtet und Solaris die Regeln entsprechend der Reihenfolge beachtet. Für deny Regeln muss man in napp-it die ACL setzen (ZFS Dateisysteme > ACL on folders). Dabei kann man die Regelreihenfolge setzen.

 

[esquire1968]

Klappt nicht mit der Computerverwaltung.
Alledings habe ich folgendes Ereignis am Win10 Rechner gefunden, welches immer auftritt, wenn ich versuche die Verbindung herzustellen.

Ereignis 10028, DistributedCOM
DCOM konnte über keines der konfigurierten Protokolle mit dem Computer STORAGE kommunizieren. Während der Aktivierung von CLSID {03837521-098B-11D8-9414-505054503030} von PID 250c (C:\WINDOWS\system32\mmc.exe) angefordert.

Vielleicht hat das was damit zu tun? Bei Google wurde ich nicht wirklich fündig ...

Wenn ich versuche mittels Computerverwaltung einen User anzulegen, kommt die Fehlermeldung ...
Bei dem Versuch, den Benutzer"xyz" auf dem computer "STORAGE" zu erstellen, ist folgender Fehler aufgetreten:
Bei einem Tempteprozeduraufruf (RPC) ist ein Protokollfehler aufgetreten.

 

[gea]

Wie bereits gesagt.
Mit "Computerverwaltung" kann man remote auf dem NAS Share-Rechte verwalten, angemeldete User und offene Dateien einsehen - mehr nicht.

Lokale NAS User muss man auf Solaris/ OmniOS anlegen und Datei/Ordnerrechte muss man auf dem NAS oder aus Windows per SMB im Dateibrowser und nicht in der Computerverwaltung ändern.

Lediglich mit einem Windows Active Directory Server kann man User, Gruppen und Policies zentral/remote verwalten.

Auch wenn der ZFS/kernelbasierte Solaris SMB Server über Computermanagement verwaltet werden kann, Windows SMB Gruppen, Windows SID und ntfs artige ACL unterstützt (und das ist erheblich mehr Windows Kompatibilität als üblich), alle Windows Management Optionen der Computerverwaltung unterstützt Solaris/ Unix dann auch nicht.

 

[esquire1968]

Alles klar. danke!

Dachte, ich kann auch Rechte setzen.