Auf Mastodon ansehen
Wer eine Nextcloud für private Zwecke verwendet, braucht sich in der Regel keine Gedanken über die Rechteverwaltung zu machen. Man ist dort Admin, hat alle Rechte und kann machen, was man möchte. Vermutlich ist man mit Freigaben auf Dateien oder Ordnern in Berührung gekommen, um ebendiese anderen Personen zur Verfügung zu stellen. Das ändert sich, wenn man die Nextcloud in der Familie, im Verein oder in einer Organisation betreiben möchte. Dann gilt es, die Rechteverwaltung zu verstehen.
Diese habe ich bisher nicht richtig verstanden. Und was macht man in einem solchen Fall? Man beschäftigt sich damit und schreibt einen Artikel bei GNU/Linux.ch, damit auch andere an den eigenen Erkenntnissen teilhaben können. Das ist auch deshalb sinnvoll, weil ich die Nextcloud-eigene Dokumentation zu diesem Thema für verbesserungswürdig halte.
Manche Menschen denken prozessorientiert, andere eher strukturiert. Ich gehöre zu Letzteren, weshalb ich mir zuerst ein Datenmodell aufgezeichnet habe:
Eine Voraussetzung dafür, um in Nextcloud Benutzer und Gruppen verwalten zu können, ist, dass man Admin-Rechte hat. Bei den meisten (kostenlosen) Hosting-Angeboten, ist das nicht der Fall. Dort ist man nur ein normaler Benutzer ohne die nötigen Rechte. Deshalb verwende ich für diesen Artikel meine private Nextcloud, in der ich alle nötigen Rechte besitze.
Benutzer
Über das Systemmenü gelangt man zu den Konten. Dort können Benutzer und Gruppen verwaltet werden.
Im Screenshot seht ihr, dass es zwei Benutzerkonten gibt: Adam und Ralf. Eine weitere Benutzerin (Eva) wird gerade angelegt. Bereits hier kann man eine Gruppenzugehörigkeit auswählen und ebenfalls die neue Benutzerin als Admin für Gruppen eintragen. Da es bisher noch keine Gruppen gibt, lasse ich diese Felder vorerst leer. Nun gibt es in meiner Nextcloud die Benutzer: Adam, Eva und Ralf, wobei Ralf der Ober-Admin ist.
Wenn ich mich mit der Benutzerin Eva anmelde, sieht sie ihr eigenes Nextcloud-Universum: ihre Dateien, ihre Kalender, ihre Kontakte, usw. Sie erhält eigene Instanzen und Daten für alle installierten Nextcloud-Apps. Das ist ein wichtiger Unterschied. Zwar erhält sie eigene Daten, ohne die Daten der anderen Benutzer sehen zu können, doch sie erhält keine eigenen Apps, sondern diejenigen, die vom Admin installiert wurden. Um es anders auszudrücken: Die installierten Apps sind für alle Benutzer (mit eigenen Daten) benutzbar. App-Installationen pro Benutzer sind nicht möglich (glaube ich).
Gruppen
Standardmässig gibt es die Gruppe admin, zu der der Hauptbenutzer (Ralf) automatisch zugeordnet ist. Im oben gezeigten Dialog können nicht nur Benutzer, sondern auch Gruppen verwaltet werden. Die Gruppe admin ist weder sichtbar, noch editierbar. Nun erzeuge ich zwei neue Gruppen: Allgemein und Media.
Nachdem man die Gruppen angelegt hat, könnte man enttäuscht sein, weil man damit vordergründig nicht viel anstellen kann. Ausser Anlegen und Löschen, gibt es keine Optionen. Doch wie wir beim Erstellen der Benutzer gesehen haben, kann man dort dem Benutzer eine oder mehrere Gruppen zuweisen. Und genau das mache ich jetzt.
Adam und Eva sind in der Gruppe Allgemein und Eva ist zusätzlich in der Gruppe Media. Damit ändert sich vorerst nichts, weil nicht klar ist, welche Rechte die Gruppen haben (bisher keine). Würde ich mich jetzt als Eva anmelden, sähe ich nur ihren eigenen Datenraum.
Gruppen auf Ordner berechtigen
Mein Ziel ist, dass die Gruppe Allgemein Rechte an einer Auswahl von Ordnern erhält, damit Adam und Eva damit arbeiten können. Ausserdem soll die Gruppe Media Rechte an bestimmten Ordnern bekommen, damit Eva dort Zugriff erhält. Diese Zuweisungen geschehen nicht in der Kontenverwaltung, sondern im Dateimanager. Als Admin öffne ich den Dateimanager und entscheide, dass die Ordner dev und exchange der Gruppe Allgemein zugewiesen werden sollen. Daher klicke ich auf das Teilen-Symbol neben dem Ordner dev.
Und nun kommt der Moment in diesem Artikel, an dem ich mein Notebook durch das geschlossene Fenster werfen möchte. Na klar, wenn man liest "Interne Freigaben. Namen der Federated-Cloud-IDs eingeben", versteht jeder, dass man hier die Gruppe zuordnet 🤯. Wenn es wenigstens eine Auswahl in der Dropdown-Liste gäbe. Aber nein, man muss den Gruppennamen eintippen.
Was ist bitteschön der Sinn einer Dropdown-Box, deren Inhalt man erraten muss? So, genug der Aufregung. Jetzt auf Allgemein klicken und die Teilnehmer:innen der Gruppe sollten Zugriff auf den Ordner dev haben. Nach diesem Klick zeigt sich die Nextcloud plötzlich versöhnlicher.
Berechtigungen prüfen
Warum nicht gleich so? Wie ihr seht, kann man an dieser Stelle die Rechte im Detail regeln. Standardmässig ist "Bearbeiten erlauben" ausgewählt. Über die "Benutzerdefinierten Berechtigungen" kann man das feiner regeln.
Ich melde mich mit Adams Konto an und schaue nach, ob das funktioniert. Wir erinnern uns, Adam gehört zur Gruppe Allgemein.
Wie man sieht, hat Adam Zugriff auf den Ordner dev mit den erwarteten Rechten zur Dateibearbeitung. Alle Ordner und Dateien werden in der Teilen-Spalte als "durch Admin (Ralf) freigegeben" gekennzeichnet. Das sieht komisch aus, ist aber eine Information. Nun hätte ich noch ein paar Medien-Ordner der Gruppe Media zuweisen und prüfen können, ob Eva danach Zugriff darauf hat, aber das spare ich mir. Das Prinzip habe ich verstanden und es funktioniert.
Fazit
Für mich hat es sich gelohnt, diesen Artikel zu schreiben. Jetzt habe ich verstanden, wie die Rechteverwaltung in Nextcloud funktioniert. Ich hoffe, ich habe es so geschrieben, dass es für euch auch von Nutzen ist. Wenn ich etwas ausgelassen oder missverstanden habe, dann schreibt es bitte in die Kommentare. Ich lasse die Benutzer und Gruppen auf meiner Nextcloud eine Weile bestehen, falls ihr Fragen habt, die ich durch Ausprobieren beantworten kann.
Titelbild: https://pixabay.com/illustrations/social-media-laptop-notebook-blog-550778/ (modifiziert)
Quellen:
https://docs.nextcloud.com/server/latest/user_manual/de/#
Schwieriger wird es, wenn man mit Gruppenordnern arbeiten möchte. Gruppenordner sind aber in der Regel einem User zugeordnet. Aus Vereins Sicht, möchte man aber, dass der Gruppen Admin nur Rechte, aber keine Besitzrechte hat. Schliesslich kommen Personalwechsel in Vereinen durchaus vor und die Vereinsdokumente dürfen sicher nicht verloren gehen. Aus historischen gründen habe ich einen User "Verein" der alle Ordner für den Verein Freigibt.
Laut NextCloud gibt es aber auch die https://apps.nextcloud.com/apps/groupfolders App vor 8Jahren hatte ich damit aber mal Daten verloren, daher traue ich mich selbst nach all den Jahren da nicht mehr ran. Insbesondere, da die User Lösung ja funktioniert.
"Nur echt mit einem Ralf-Rant." Made my day :-D
Man kann in der App-Verwaltung eine installierte App anklicken, zum Reiter Details wechseln und dort die Benutzung der App auf Gruppen beschränken. Am Ende dreht sich die Rechteverwaltung eher um die anzulegenden Gruppen, aber damit kann man schon recht granular Einstellungen vornehmen. Man muss im Vorfeld nur etwas mehr Arbeit in die Planung der Gruppenstruktur in Verbindung mit der Verzeichnisstruktur investieren.
Danke für den Artikel. Der Hinweis in den Kommentaren auf „Group Folders” ist wichtig, es lohnt sich, sich damit in organisationalen Nutzungsszenarien auseinanderzusetzen.
Im etwas größeren Einsatzzwecken ist die Rechteverwaltung tatsächlich noch mächtiger (und leider auch stellenweise komplizierter}: Die mittlerweile im Nextcloud Core angekommenen Circles fügen noch eine weitere Berechtigungsebene hinzu. Nutzerinnen können in der Contacts App eigene private oder öffentliche „Kreise” (Circles, besser begreifbar als Arbeitsgruppen) anlegen, diesen Userinnen hinzufügen/entfernen oder z.T. auch selbstständig Kreisen beitreten. Dann kann man Dateien, Termine, etc. nicht nur mit Nutzer*innen und Gruppen, sondern auch noch mit Kreisen teilen.
Eigentlich ein ziemlich cooles und mächtiges Feature für größere Orgs, aber verständnis- und erklärungsbedürftig. Das schreit nach einem weiteren Artikel ;-)