Es ist möglich, Ordner auf OES-Netzlaufwerken (oder COUCHstore-Laufwerken mit NCP-Zugriff) für andere Accounts und oder Gruppen freizugeben, und auf diese Weise Mitarbeitern*innen und/oder Studierenden Dateien und Ordner zur Verfügung zu stellen, oder eine Arbeitsgruppe zu bilden, die gemeinsam auf bestimmte Daten zugreifen soll. Im Allgemeinen werden gesetzte Trustees ab dem Verzeichnis in dem Sie gesetzt wurden nach unten vererbt.

Welche Zugriffsrechte auf welche Speicherbereiche vorhanden sind, hängt davon ab, welche Tätigkeiten und Funktionen an welchen Organisationseinheiten ein User innehat. Dies wird grundsätzlich vom EDV-Verantwortlichen der Organisationseinheit mit Hilfe des Account-Managers für den Account festgelegt.

Darüber hinaus können Berechtigungen auf Basis einzelner Accounts vergeben werden.

Freigabe unter Windows mittels OES-Client

Windows-Explorer

Es gibt in jedem Ordner in den Eigenschaften einen Reiter OES-Rechte. In diesem können die Zugriffsrechte bearbeitet werden. Parallel dazu gibt es im Kontextmenü auch den Punkt Trustee-Rechte der zum gleichen Resultat führt.

Dieses Fenster ist in 3 Bereiche aufgeteilt:

  1. Trustees:
    Hier werden User und Gruppen aufgelistet, sowie deren Rechte die gesetzt sind.

    Folgende Rechte stehen zu Verfügung:

    S .. Supervisor darf ab dieser Ebene alles (Rechte und Speicherbegrenzungen verwalten)
    R .. Read (Lesen) darf Inhalt einer Datei lesen
    W .. Write (Schreiben) darf in eine Datei schreiben
    E .. Erase (Löschen) darf Datei als ganze löschen
    C .. Create (Erstellen) darf neue Datei oder Ordner erstellen
    M .. Modify (Bearbeiten) darf Umbenennen oder Attribute ändern
    F .. File Scan (Dateien anzeigen) darf Inhalt eines Ordners auflisten
    A .. Access Control (Rechtekontrolle) darf Rechte ändern

    Die Vielfalt ist auf den ersten Blick verwirrend, erlaubt aber interessante Kombinationen.

    Beispiele:

    • Nur-Lese-Zugriff: RF
    • Schreibzugriff: RWECMF
  2. Browser:
    Dieser dient zum Auswählen und Hinzufügen von Usern und Gruppen.
    • users: Hier sind alle aktiven Userobjekte (d.h. alle User der BOKU) verfügbar (öffnen dauert etwas)
    • groups.extra: Hier sind händisch verwaltete Gruppen enthalten
    • groups.funktionen: Hier sind Gruppen mit speziellen Funktionen enthalten (z.B. Leitung, Sekretariat, StorageAdmins)
    • groups.permissions: Hier sind Storage-Gruppen enthalten, die über den Accountmanager verwaltet werden
  3. Effektive Rechte:
    Hier wird dargestellt, welche Rechte Sie ab dem aktuellen Ordner innehaben.

Rechtesetzung via Kommandozeile

Sollen für mehrere Benutzer auf einmal Rechte vergeben werden, empfiehlt sich die Verwendung der Kommandozeile.
Hierzu wird der Befehl settrust benötigt.

settrust.exe befindet sich auf OES-Laufwerk Z: bzw. S:\tools (\\serversoft\datasoft\tools). (Falls Sie andere Laufwerke auf diese Laufwerksbuchstaben gemappt haben, muss der Befehl mittels Pfadangabe aufgerufen werden: \\serversoft.boku.ac.at\DATASOFT\tools\settrust.exe )

Folgende Parameter sind möglich/erforderlich: 

  • der Ordner, auf die sich die Rechtevergabe bezieht
    (Bei Ordnern ist es am einfachsten, man wechselt in den entsprechenden Ordner, und gibt dann nur einen Punkt (für aktueller Ordner) an, aber eine komplette Pfadangabe funktioniert natürlich auch. Wenn Ordnernamen oder Dateiname im Pfad Leerzeichen enthalten, muss der gesamte Pfad in Anführungszeichen gesetzt werden.)
  • die Rechteliste, z.B. RF für Nur-Lese-Rechte, RWECMF für Schreibrechte
  • /name=userid /x=r Auflistung der Benutzer , wobei /x=r Benutzernamen unabhängig vom Kontext findet
  • oder /name=.H89300-storage.permissions.groups.boku
    für einzelne Institute oder Arbeitsgruppen (hier als Beispiel das Institut für Verfahrens- und Energietechnik)

Beispiele

Beispiel 1: Rechte im aktuellen Ordner auslesen:

settrust   .  /t 


Beispiel 2: im aktuellen Ordner Nur-Lese-Rechte (Read- und Filescan) für den Account „mmustermann“ setzen:

settrust   .  RF  /name=mmustermann  /x=r


Beispiel 3: im aktuellen Ordner volle Lese- und Schreibrechte für den Account „mmustermann“ setzen:

settrust   .  RWECMF  /name=mmustermann   /x=r


Beispiel 4: im Ordner „H123\instituts_intern“ auf dem Laufwerk N: alle Rechte für den user  „mmustermann“ setzen:

settrust  "N:\H123\instituts_internRWECMF  /name=mmustermann  /x=r


Beispiel 5:  im aktuellen Ordner alle Rechte für den user „mmustermann“ entfernen

settrust  .  rem /name=mmustermann  /x=r


Beispiel 6: im aktuellen Ordner Read und Filescan für die  gesamte Organisationseinheit H77200 setzen:

settrust  .  RF  /name=".H77200-storage.permissions.groups.boku"



Der Vorteil der Kommandozeilenbefehle liegt auch darin, daß man öfter benötigte Rechtevergaben mittels Batch-Programmen automatisieren kann.

Gruppen / Befehl 'grplist'

Wenn Sie die Rechtevergabe für Ordner über die Storage-Gruppen vergeben statt für persönliche Accounts hat das den großen Vorteil dass bei Wechsel der Personen die Rechtesetzung nicht nachgezogen werden muss und immer aktuell ist.

Mit dem Befehl 'grplist' können Sie Mitglieder von Gruppen auflisten lassen.

Beispiele:

Mit folgendem Befehl werden alle Mitglieder der Gruppe "H85100-inst-leiter.funktionen" aufgelistet, also alle Personen mit der Funktion "Institutsleitung" an der OrgEH H85100 laut BOKUonline:

grplist  .H85100-inst-leiter.funktionen.groups.boku


Mit folgendem Befehl können Sie alle in BOKUonline offiziell eingetragenen Institutsleitungsstellvertreter*innen an der OrgEH H85100 ermitteln:

grplist  .H85100-inst-stv.funktionen.groups.boku


Mit folgendem Befehl können Sie alle Personen mit der Funktion "Sekretariat" an der OrgEH H85100 ermitteln:

grplist  .H85100-sekretariat.funktionen.groups.boku


Mit folgendem Befehl können Sie ermitteln, welche Accounts über die Funktion "StorageAdmin" / "Vergabe von Zugriffsrechten auf Speicherbereiche an der Organisation" verfügen, also berechtigt sind, auf dem OES-Laufwerk weitere Berechtigungen zu vergeben. In der Regel verfügen alle EDV-Verantwortlichen einer OrgEH über diese Berechtigung:

grplist  .H85100-storageadmin.funktionen.groups.boku


Folgender Befehl listet alles Accounts, die im Accountmanager das Recht "Zugriffsrechte auf OrgEH-bezogener Speicherbereich" bekommen haben. In der Regel werden das alle Mitarbeiter*innen einer OrgEH sein:

grplist  .H85100-storage.permissions.groups.boku


 

Zusammenfassung

Wenn Sie die Rechtevergabe für Ordner über die Storage-Gruppen vergeben statt für persönliche Accounts hat das den großen Vorteil dass bei Wechsel der Personen die Rechtesetzung nicht nachgezogen werden muss und immer aktuell ist.

Die Mitgliedschaft in den Storage-Permissions-Groups wird über das Hakerl 'Zugriffsrechte auf OrgEH-bezogener Speicherbereich' im Accountmanager gesteuert.

Die Mitgliedschaft in den Funktions-Gruppen Leitung, Stellvertretung, Sekretariat stammt aus BOKUonline.