Benutzer ohne Papierkorb (der will immer endgültig löschen)

Guten Tag, das Problem wurde schon mind. zweimal länger besprochen, aber ich habe dennoch Fragen.

Meine Konfiguration: MacPro 5.1, OS 10.6.8, 1 Admin + 1 Nicht-Admin (Alltagsnutzer), ich installiere gerade OS 10.6 völlig neu.

Systempartition ohne Daten in den Benutzerordnern, weil die meisten Daten sowieso auf anderen internen und externen HDs sind: Also gleich konsequant und übersichtlich auf einer der HDs eine Systempartition und eine Datenpartition.

Während der Admin normal löschen kann, kann der Nicht-Admin nur "endgültig" löschen, wenn er Daten von der gemeinsamen Datenpartition löschen will. Wenn ich die Unsichtbaren darstelle, hat die Datenpartition ihre ".Trashes" und drin ihre "501". Der Nicht-Admin hat aber keinen Papierkorb im Benutzerordner und es gibt keinen "502" im ".Trashes", warum auch immer, und deshalb löscht er nur "endgültig". FPDP, TechTool Pro, OnyX, alles probiert.

Weil ich ungern im Terminal irgendwas Aufregenderes mache (und kann) als ls -la, habe ich aus einem bestehenden anderen 10.6 den ".Trash" eines Nicht-Admin kopiert, so daß der betreffende aktuelle Nicht-Admin nun seinen Trash hat und die ".Trashes" auf der Datenpartition haben von allein neben dem "501" auch einen "502" bekommen. Seitdem ist das "Endgültiglöschen" abgestellt. Rechte habe ich manuell im apfel-i eingestellt für den Benutzerordner-Papierkorb: Benutzer Lesen+Schreiben, "everyone" keine Rechte.

Fragen:

1.) Das Kopieren des ".Trash" und das Rechtevergeben ohne Terminal ist schnell, übersichtlich, kaum falsch zu machen. Ist das Ergebnis technisch genau so korrekt wie beim Weg über das Terminal?
Die Rechte sind lt. Terminal drwx------ 2 user staff, also wohl korrekt.

2.) Auf der Systempartition (auf derselben Ebene wie Benutzer, Programme usw.) gibt es einen ".Trashes", dessen blaues Ordnersymbol rechts unten einen blauen Abwärtspfeil in weißem Kreis hat. Welche Funktion hat der? Rechte: system, staff und everyone können "Nur Schreiben". Ist das korrekt? Man kann was reinlegen, aber "zum Sehen" braucht man andere Zugriffsrechte. Als Admin sehe ich auch nichts drin, dann ist das Vorschaubild sogar ohne Pfeil.

3.) Apropos Rechte: Wenn ich mal versehentlich während eines Admin-Ausflugs etwas auf einer der eigentlichen Datenpartitionen erstellt habe, dann ändere ich (wieder als Nicht-Admin) die Rechte auch zu Fuß für einzelne Dateien:
- In apfel-i "Nicht-Admin Lesen+Schreiben" oder
- in großem Stil über apfel-i einer Datenfestplatte oder -partition mit "auf alle Unterobjekte anwenden" oder
- temporär über "Eigentümer ignorieren"

Ist dieses Vorgehen technisch nicht zu beanstanden? Ich hatte bislang OS 10.4, wie ist das 10.6?

4.) Kann ich die Rechte einer komplatten Datenfestplatte oder -partition bei "staff" und "everyone" auf "Keine Rechte" oder "Lesen" setzen, wenn doch nur zwei Benutzer vorhanden sind (Admin und Nicht-Admin)? Oder ist "staff" derart übergeordnete "Gruppe", daß die mal zuerst Lesen+Schreiben können muß, damit überhaupt ein Benutzer auch Lesen+Schreiben kann?

Ich hoffe, jemand weiß was! Vielen Dank schon einmal!

 

Viele Frage, die schon sehr tief das einmünden, das man besser dem System überlässt. Ich habe den Eindruck, dass du sehr gerne in die Verwaltungsrechte des Systems eingreifst. Ehrlich gesagt halte ich das für keine sehr gute Idee, da das System eigentlich am besten weiß welche Rechte wo und wann am besten angebracht sind. Des weiteren hast du offensichtlich die normalerweise unsichtbaren Dateien mit Tinkertool oder dem Terminalbefehl sichtbar gemacht. Auch das ist nicht optimal, da das den Anwender nur verwirrt. Ich versuche mal soweit ich kann auf die Fragen einzugehen:
Zu 1):
Wenn der Kopiervorgang und die Rechtevergabe funktioniert hat ist doch alles in Ordnung. Das Problem dabei ist folgendes: Es gibt in MacOs nicht nur einen Papierkorb sondern deren viele. Jeder Benutzer hat einen, das System hat einen übergreifenden und jedes angeschlossene Volume hat (mindestens) einen. Der ".Trash" (Papierkorb) ist der Benutzerpapierkorb, der".Trashes" der Systempapierkorb. Jeder dieser Papierkörbe hat unterschiedliche Rechte. Mit der händischen Rechtevergabe wirst du sehr schnell Chaos erzeugen.
zu 2):
Das Symbol mit "+"-Zeichen auf dem .Trashes bedeutet lediglich, dass derselbe per Default eingeschränkte Rechte hat, in dem Fall nur lesen.
Zu 3):
Zu den Rechteschiebereien bin ich schon eingangs eingegangen. UNIX hat als Multi-User-/Multi-Task-System eine sehr ausgeklügelte Rechteverwaltung. Selber eingreifen heißt praktisch immer eine Verschlimmbesserung, weil man es nie so hinbringen wird wie es das System für einen optimalen Ablauf benötigt.
Zu 4): ditto
Meiner bescheidenen Meinung nach fängst du dir die ganzen Rechteprobleme deswegen ein, weil du die Benutzer-Daten nicht wie von UNIX vorgesehen auf die Benutzerverzeichnisse legst, sondern auf ein anderes Laufwerk. Damit das ohne Probleme funktioniert müsste die Option "Benutzer auf diesem Laufwerk ignorieren" aktiviert sein, sonst gibt es früher oder später Probleme. Das Laufwerk ist dann aber offen wie ein Scheunentor für jeden (auch für einen externen Angreifer). Ausserdem ist es auch vom Sinn der Datensicherung ein Unding, dass die Benutzerdaten und die zugehörige Benutzer-Library getrennt ist.
Meine Empfehlung:
Kopiere alle Benutzerdaten auf dem zweiten Laufwerk in die richtigen zugehörigen Benutzer-Verzeichnisse auf der System-Platte. Dann verschiebst du die kompletten Benutzer auf die zweite HD und richtest den Zugriffs-Pfad auf diese verschobenen Benutzer aus. Die originalen Benutzer kannst du dann auf der System-HD entfernen und alle Schreib- und Lesezugriffe erfolgen dann auf die Benutzer auf der zweiten HD. Damit passen auch die Zugriffsrechte wieder.
Der Kopiervorgang geht allerdings nicht mit dem Finder, weil derselbe keine unsichtbaren Dateien verschiebt. Falls du das machen willst melde dich hier und ich schreibe dir einen Workaround wie das zu bewerkstelligen ist.

MACaerer

 

Ui, das ist ausführlich, leider muß ich jetzt zur Arbeit, das lese ich mir morgen in Ruhe durch. Danke schon mal!

Aber lieber "dem System überlassen"? Das hatte ich gemacht, da hat es den Papierkorb gelöscht. Ich mußte also tätig werden.

"Sehr gerne in die Rechte eingreifen"? Lieber wäre mir, das System hätte mich nicht im Stich gelassen und mir (und dir) Arbeit gemacht. Das FPDP versagt, ich mache Handarbeit. Wie sonst?

"Das System weiß am besten, welche Rechte wo"? Leider gibt es keinen Zugriff von mehreren Nutzern auf dieselben Daten auf viele Festplatten. Nur ich weiß, wie ich jedem alle erforderlichen Rechte gebe, umd die Nachteile des Benutzersystems zu umgehen.

Ja, unsichtbare Dateien mache ich mit TinkerTool sichtbar, bin aber dadurch nicht verwirrt, sondern konnte im Gegenteil sofort die Fehler entdecken, meine Reparaturen beginnen und Fragen stellen. Das System war offenbar "verwirrt" und wird das nicht auf mich übertragen...

Das Terminal würde mich verwirren, das schon, und da nehmen ja auch viele eine Menge Eingriffe "im System" vor, wenn es sie wie hier im Stich läßt. Das ist oft heftiger als das schlichte Sichtbarmachen von Dateien und das manuelle Rechtevergeben mit zuverlässignen Tools oder direkt auf dem GUI, wenn es das System nicht schafft.

So, ich muß abzischen, die Klinik wartet.

 

Jetzt habe ich auch auch eine Zwangspause aufgedrückt bekommen...

Die Papierkorbvielfalt kenne ich. Die manuelle Rechtevergabe ist der einzige Weg, einen vom System gelöschten (das nenne ich "Chaos") ohne die Risiken des Terminals wiederherzustellen. Die Rechte der Benutzerpapierkörbe scheinen einheitlich zu sein und sind leicht zu vergeben. Ich habe mir die von mehreren Systemen und vielen Benutzern angesehen (dafür ist ja TinkerTool da), wollte nur noch eine "amtliche" Bestätigung, ob bei euch die Benutzerpapierkörbe ebenfalls bei der genannten Konfiguration derart verrechtet sind. Vielleicht antwortet ja noch einer.

Laufen lassen geht gar nicht. Die Herstellung und Rechtevergabe des gelöschten Papierkorbs habe ich leider nur so geschafft. Ein anderer Weg wäre?

Die Rechteprobleme hat wie mehrfach gesagt das System erzeugt, ich muß irgendwie wieder einen Papierkorb mit seinen Rechen herstellen. Der Papierkorb wird ja nun nicht gelöscht, nur weil man auch noch Daten auf anderen Laufwerken hat und seine eigene Rechteverwaltung einrichtet, nicht wahr.

Ich bin nun mal vom anderen Ufer und würde System und Daten immer strikt trennen. Im System haben Daten nichts, gar nichts zu suchen. Bei zwei Dutzend Terabyte, zahllosen Festplatten für verschiendste Zwecke, internen, externen, an denen ein halbes Dutzend Leute arbeiten: wie bitte soll das dieser Ansatz "Benutzerordner", der für den Hausgebrauch sicher gut funktioniert, realisiert werden? Das Mac OS ist nicht angewiesen auf "Benutzerordner". Es ist nicht so dumm, wie das immer dargestellt wird: Es kann hervorragend umgehen mit weit verstreuten Daten, wie sie im professionellen Umfeld nun mal vorkommen - wo der MacPro eigentlich hingehört.

Für einen Datenumfang, der auf EINE Festplatte in EINEN Benutzerordner paßt, brauche ich keinen MacPro. Das wäre Übermotorisierung auf hohem Niveau.

Das System wird komplett separat von den Arbeitsdaten gepflegt, erweitert, neu aufgesetzt und gegen "Angreifer"geschützt, die ja i.d.R. das System und nicht eine extere Daten-Festplatte angreifen.

Genau so verwaltet ein Mac seine 20 internen und externe Festplatten. Wie sonst? So ist das bei UNIX im professionellen Umfeld vorgesehen. Ein "Angreifer" kann auf Rechnern, die nicht am Internet hängen (berufliche Nutzung!), gar nichts ausrichten. Ein Internet-Mac enthält keine wichtigen Daten.

Das System wird separat mehrfach (wir haben immer vier Originale an verschiedenen Orten) gesichert. Das IST kein Problem! Unsere reinen Arbeitsdaten (Filme, Bilder, Docs, Exels, auch vier Originale) brauchen doch keine Library! Sie sind an jedem Mac OS sofort nutzbar.

Wir sind kein Privathaushalt mit drei Individuen, einem Mac, vier Benutzer-Ordnern und 500 GB Urlaubsbildern, Privatfilmen und Kochrezepten .

Es ist sicher nett gemeint von dir, geht aber zum Teil doch weit an meinen Fragen vorbei. Die beiden Lager "Daten im/neben dem System" einigen sich ohnehin nie, weil beide Recht haben. Bitte beantworte doch noch, was immer geht.

 

Oops, ich habe schon befürchtet, dass das zur Grundsatzdiskussion ausufert. Ich sitze nicht vor deinem Mac und ich weiß auch nicht was du und deine Benutzer alles an euerem Mac aus- und durchführt. Nur soviel: Das System löscht selbsttätig keinen Papierkorb und es verändert auch keine Zugriffsrechte, das kann es nämlich gar nicht. Das einzige mal, bei dem die Rechte gesetzt werden ist bei der System-Installation und dann nicht wieder. Alle weiteren Änderungen kommen somit von außen, meistens vom Benutzer, gelegentlich auch von einem Programminstaller, der die Rechte zum App-Ordner beim Installieren aufheben muss und sie dann falsch neu setzt. Dafür (und nur dafür) gibt es die Funktion "Rechte reparieren" auf dem Festplatten-Dienstprogramm.
Ich habe meine Meinung zur Benutzerverwaltung schon geschrieben. Gerade wenn mehrere Benutzer am Mac arbeiten ist es meiner Meinung nach wichtig die vorgegebenen und strikt von einander getrennten Benutzer-Verzeichnisse zu verwenden, weil dann kein Benutzer auf die Daten des anderen zugreifen kann. Zum gegenseitigen Austausch, wenn nötig, gibt es dann den Bereich "Für alle Benutzer".
Ihr handhabt das anders, schön, das ist eure Sache und wenn es funktioniert ist ja alles okay. Aber einfach ist anders.

MACaerer

 

Ja, keine Grundsatzdiskussion, aber die darf man dann auch nicht mit der Schilderung der eigenen Verfahrensweise, die an heimischen Einzelrechnern toll funktionieren mag, starten. Grundsätzlich ist man ja für jeden Tip dankbar, ja, ja...

In der Tat kann es ein Installer gewesen sein, oder etwas Exotisches, aber garantiert nicht dies:
> "ganzen Rechteprobleme deswegen ein, weil du die Benutzer-Daten nicht wie von UNIX vorgesehen"

Ich hatte KEIN Rechte"problem". hatte nämlich nur gefragt, ob wir den Papierkorb richtig einkopiert haben und ob die Rechte so richtig gesetzt sind. Und ich habe als Zusatzfrage gestellt, ob das im Info-Fenster so vorgesehene (ohne Terminal!) Rechte-Ändern einer angeschlossenen Festplatte dem umständlichen Terminaleingriff entspricht. Das ist ein ganz normales Verfahren, und was UNIX "vorsieht", muß nur in Grenzen beachtet werden. Dies SIEHT aber UNIX und Apple vor, sonst kommt man nämlich nicht an die Daten externer Festplatten.

Und wozu hat wohl Apple vier HD-Plätze vorgesehen? Und warum kauft man massenhaft externe Festplatten? Erkläre mir mal, wie du deren Daten in den goldigen "Für alle Benutzer" kriegst, wo ich daheim vielleicht mal reinschreibe: "Schon wieder neuer Freund?"

Es ist nach meiner Erfahrung auch ein Irrtum, daß "Rechte reparieren" funktioniert, wenn ein Fremdprogramm gewisse Rechte gestört hat: Das funktioniert nur bei Apple-Programmen. Auich hier: Manueller Eingriff im Info-Fenster und in unsichtbaren Dateien.

Ich leite zur Zeit eine Abteilung, die in einer großen Klinik Filme, Bilder und Dokumente über Patienten archiviert und bereitstellt, um den internationalen Kontakt (Patienten/OPs im Ausland) zu garantieren. Das Material liegt in TrueCrypt-Containern, also gewissermaßen "militärisch" verschlüsselt als 26 Terabyte, an dem sieben Leute arbeiten. Einmal im Monat zahlt mir die Klinik einen Informatiker zur Wartung (der Rest hier im Haus um mich rum läuft auf WIN), der das UNIX-System an der benachbarten Uniklinik wartet. Der hat gar nicht erst einen Gedanken verschwendet an "Benutzerordner" und "Für alle Benutzer" im beruflichen Umfeld. Der hat, wie er uns erzählt hat, nicht mal zuhause Daten auf der Systempartition. Zwei Welten halt, respektiere es...

Habe ich zwischendurch Probleme, darf ich das privat(!) zahlen (Mindestsatz 95*€ + USt. für die erste Stunde), weil ich KEIN Windows-System wollte: Brauche ich auch nicht, weil ich ohnehin komplett vom Rest der Klinik abgekoppelt sein wollte.

Deshalb stelle ich dann mal eine Frage in Foren und brauche dann keine Informationen über (Entschuldigung) exotische bedienungsanleitungsgemäße Benutzerorder-Heimbereich-Verfahrensweisen anderer, sondern fragebezogene Antworten. Deine Bemerkung zu unserer Ablehnung des Systembenutzerordners: "Aber einfach ist anders." ist wohlwollend, gönner- und lehrerhaft und nicht sehr höflich, denn das Benutzerordner-System für den Hausgebrauch geht hier nicht. Punkt.

Bei uns ist "einfach", wenn Daten NIEMALS im System liegen. Und das machen ALLE so, die nicht nur EINE Festplatte (plus eine Backup-Platte) geauft haben, wenn sie beruflich arbeiten. Glaub es einfach, die Welt da draußen kennt noch viele andere unbekannte Wunder. Und alles was wir an "Eingriffen" machen, ist wohlüberlegt, Terminal-los und im Rahmen dessen, was das GUI (die Mac-Oberfläche) dem Nutzer erlaubt.

Apropos "Offenes Scheunentor für Angreifer bei Rechte ignorieren": "Rechte ignorieren" passiert hier nur bei Wartungsarbeiten, und kein Mac hängt ohnehin JEMALS am Internet (zu versendende Daten werden manuell als Festplattenkopie in einen eigenen Internet-Mac gestöpselt, es sind aber immer auch gleich fast Gigabyte und keine Mails, und keiner "surft" hier...), und auf den "rechtelosen" Datenplatten sind keine Programme und kein System! Und dann gibt es auch nicht "irgendwann" Probleme durch "Angreifer".

Wenn aber interne und externe Datenplatten die Rechte für sechs definierte Nutzer freigeben, ist das komplett UNIX-konform. Aber frag mal irgendeinen Arzt Anwalt oder Steuerberater Deines Vertrauens, ob er deine Daten dermaßen antischeunentormäßig (wie bei mir) verschlüsselt auf seinem dumpfen WIN oder Mac ablegt. Meine Abteilung hat den stärksten Schutz im ganzen Haus, und ich kann dir sagen, das war höllenaufreibend in dieser WIN-Übermacht.

So, entschuldige den langen Text. Du bist ja ein guter Kerl und kompetenter Berater, und ohne DragonDictate und ohne Mittagspause (22-Stunden-Schicht) wären solche Texte wie meiner auch nicht möglich, aber ich mußte das mal loswerden in dem ganzen Streß hier.

Jetzt kommt nämlich gleich der Nachbarabteilungs-Onkel-Doktor wieder rein und sagt: "Werfen Sie mal ihr Fallobstmaschinchen an und beamen sie mal xyz-Daten dem Kollegen nach Bangkok."

Katharina