====== OMV Speicher & Berechtigungen Guide (Windows/SMB) ======

Diese Anleitung beschreibt die Einrichtung von Freigaben unter OpenMediaVault (OMV) für ein Familien-Szenario mit abgestuften Berechtigungen.

===== Quick Guide (TL;DR) =====

Für Eilige hier der Ablauf in Kurzform:

  - **1. Benutzer anlegen:** Erstelle Benutzer für `dominik`, `doro` und `sohn` unter //Benutzer -> Benutzer//.
  - **2. Ordner erstellen:** Erstelle die Verzeichnisse unter //Datenspeicher -> Freigegebene Ordner//. Wichtig: Hier noch keine Berechtigungen (ACLs) anfassen!
  - **3. Rechte vergeben:** Nutze **nur** das Menü //Privilegien// (nicht ACL!), um zu bestimmen, wer Lesen/Schreiben darf.
  - **4. SMB aktivieren:** Aktiviere den Dienst unter //Dienste -> SMB/CIFS -> Einstellungen//.
  - **5. Freigaben erstellen:** Füge die Ordner unter //Dienste -> SMB/CIFS -> Freigaben// hinzu.

---

===== Detaillierte Anleitung =====

Die größte Hürde in OMV ist der Unterschied zwischen **Dateisystem-Rechten** (Linux Ebene), **ACLs** (Access Control Lists) und **Dienst-Rechten** (SMB).

**Die Goldene Regel für Heimanwender:**
Vermeide den Button "ACL" in OMV, wann immer es geht. Nutze stattdessen die **Privilegien**-Verwaltung. ACLs machen die Verwaltung unnötig kompliziert und überschreiben oft Linux-Standardrechte.

==== Schritt 1: Benutzer anlegen ====

Der Benutzer `admin` ist nur für die Weboberfläche von OMV. Für den Dateizugriff unter Windows nutzen wir deinen persönlichen User.

Gehe zu **Benutzer -> Benutzer** und klicke auf "Erstellen":

  * **dominik**:
    * Gruppen: `users`, `sudo` (falls du SSH nutzen willst), `ssh`.
    * Dies ist dein "Admin" für Daten.
  * **doro**:
    * Gruppen: `users`.
  * **sohn**:
    * Gruppen: `users`.

**Hinweis:** Unter Windows ist es am einfachsten, wenn der Benutzername und das Passwort in OMV identisch mit dem Windows-Login sind. Dann verbindet sich Windows oft automatisch ohne Login-Fenster.

==== Schritt 2: Freigegebene Ordner erstellen ====

Wir planen folgende Struktur als Beispiel:
  * **Daten_Dominik** (Nur du)
  * **Dokumente_Eltern** (Du und Doro)
  * **Mediathek** (Alle, Sohn nur Lesen)
  * **Tausch** (Alle Lesen/Schreiben)

Gehe zu **Datenspeicher -> Freigegebene Ordner** und erstelle diese Ordner auf deinem Dateisystem (dem 10TB Pool).

**Standard-Einstellungen beim Erstellen:**
  * Dateisystem: Wähle deinen Pool.
  * Name: z.B. "Mediathek".
  * Berechtigungen: Wähle **"Administrator: lesen/schreiben, Benutzer: lesen/schreiben, Andere: kein Zugriff"** (Das entspricht chmod 770 oder 775).
  * **Wichtig:** Lass die Finger von erweiterten ACL-Einstellungen beim Erstellen.

==== Schritt 3: Berechtigungen (Privilegien) setzen ====

Hier passiert die Magie. Wir nutzen das OMV-interne Rechtesystem, das die Linux-Gruppen im Hintergrund steuert.

  - Markiere in der Liste unter **Datenspeicher -> Freigegebene Ordner** einen Ordner (z.B. `Mediathek`).
  - Klicke oben in der Leiste auf das Icon **Privilegien** (Schild-Symbol oder User-Icon, je nach Theme).

Setze die Haken wie folgt:

^ Ordner ^ dominik ^ doro ^ sohn ^ Erklärung ^
| **Daten_Dominik** | Lesen/Schreiben | (Kein Haken) | (Kein Haken) | Nur du hast Zugriff. |
| **Dokumente_Eltern** | Lesen/Schreiben | Lesen/Schreiben | (Kein Haken) | Sohn sieht den Ordner nicht oder kommt nicht rein. |
| **Mediathek** | Lesen/Schreiben | Lesen/Schreiben | Nur Lesen | Sohn kann Filme gucken, aber nichts löschen. |
| **Tausch** | Lesen/Schreiben | Lesen/Schreiben | Lesen/Schreiben | Alle dürfen alles. |

**Speichern** nicht vergessen!

==== Schritt 4: SMB/CIFS Dienst konfigurieren ====

Damit Windows die Ordner sieht, muss der Dienst laufen.

  - Gehe zu **Dienste -> SMB/CIFS -> Einstellungen**.
  - Aktiviere den Dienst (Haken bei "Aktivieren").
  - Klicke auf **Speichern** und bestätige die gelbe Leiste oben ("Änderungen anwenden").

==== Schritt 5: Shares (Freigaben) veröffentlichen ====

Jetzt verknüpfen wir die logischen Ordner mit dem Windows-Netzwerk.

Gehe zu **Dienste -> SMB/CIFS -> Freigaben** und klicke auf "Erstellen".
Wiederhole das für jeden Ordner (`Daten_Dominik`, `Mediathek`, etc.).

**Einstellungen pro Share:**
  * **Shared Folder:** Wähle den Ordner aus (z.B. `Mediathek`).
  * **Öffentlich:** Nein (Wichtig! Sonst kommt jeder ohne Passwort rein).
  * **Nur Gäste:** Nein.
  * **Browsbar (Sichtbar):** Aktiviert (Damit man sie im Netzwerk sieht).
  * **Papierkorb:** Optional aktivieren (empfohlen für `Dokumente_Eltern`).

**Der Trick für den Sohn (Sichtbarkeit):**
Standardmäßig sieht man unter Windows oft alle Ordner, bekommt aber beim Draufklicken eine Fehlermeldung ("Zugriff verweigert"), wenn man keine Rechte hat.
Wenn du willst, dass der Sohn die Ordner `Daten_Dominik` gar nicht erst **sieht**, musst du (je nach OMV Version) in den erweiterten Optionen der SMB-Freigabe schauen. OMV regelt das meist über die "Privilegien" von Schritt 3 (Access Based Share Enumeration ist in OMV oft Standard oder via Extra-Option aktivierbar).
//Standardmäßig reicht Schritt 3: Er sieht den Ordner, kommt aber nicht rein.//

==== Schritt 6: Zugriff unter Windows ====

  - Öffne den Windows Explorer.
  - Tippe in die Adresszeile: `\\IP-DEINER-OMV-NAS` (z.B. `\\192.168.178.50`).
  - Windows fragt nach Benutzer und Passwort.
    - Du gibst ein: `dominik` / `deinPasswort`.
    - Deine Frau an ihrem PC: `doro` / `ihrPasswort`.

**Troubleshooting:**
Falls Windows meckert, dass man sich nicht mit unterschiedlichen Benutzern zum gleichen Server verbinden kann:
  - Öffne CMD (Eingabeaufforderung).
  - Tippe: `net use * /delete` (Löscht alle bestehenden Verbindungen).
  - Versuche es erneut.

===== Zusammenfassung der Logik =====

  * **Storage/Dateisystem:** Hier liegen die Daten physikalisch.
  * **Shared Folders:** Hier definierst du logische Einheiten und **wer** (User) zugreifen darf (via Privilegien).
  * **SMB/CIFS:** Hier definierst du **wie** zugegriffen wird (Windows Protokoll) und veröffentlichst die logischen Einheiten im Netzwerk.

====== Erweiterung: Ordner verstecken ohne Zugriff (ABSE) ======

Standardmäßig sieht jeder Benutzer alle Ordner im Netzwerk, auch wenn er keinen Zugriff hat. Um Ordner für nicht berechtigte Nutzer komplett auszublenden, muss **Access Based Share Enumeration** aktiviert werden.

===== Schritt 1: Globales Aktivieren in OMV =====

Da OMV meist keinen direkten Haken dafür in der GUI hat, nutzen wir die "Extra Optionen" von Samba.

  - Gehe zu **Dienste -> SMB/CIFS -> Einstellungen**.
  - Scrolle nach unten zum Bereich **Erweiterte Einstellungen**.
  - Suche das Feld **Extra Optionen**.
  - Füge dort folgende Zeile ein:

<code bash>
access based share enum = yes
</code>

  - Klicke auf **Speichern** und bestätige die Änderungen (gelber Balken oben).

===== Schritt 2: Voraussetzungen prüfen =====

Damit das funktioniert, müssen die Berechtigungen (aus der vorherigen Anleitung Schritt 3) strikt gesetzt sein.

**Beispiel:**
Wenn der User `sohn` in der Gruppe `users` ist und der Ordner `Daten_Dominik` der Gruppe `users` Leserechte gibt, wird er den Ordner **sehen** (auch mit ABSE = yes).

**Wichtig:**
Stelle sicher, dass unter **Privilegien** bei den betroffenen Ordnern die Haken für die unerwünschten User/Gruppen wirklich entfernt sind.

===== Schritt 3: Windows Cache leeren =====

Windows merkt sich oft die alte Ansicht. Damit die Ordner verschwinden, muss man die Verbindung oft einmal komplett trennen.

**Methode A (Schnell):**
Starte den PC des Sohnes neu.

**Methode B (Ohne Neustart):**
Öffne die Eingabeaufforderung (CMD) und tippe:
<code bash>
net use * /delete
</code>
(Bestätige mit J/Y). Danach neu verbinden.

===== Zusammenfassung =====

Mit `access based share enum = yes` scannt der Server beim Login des Users die Rechte.
  * Hat `sohn` **kein** Leserecht auf `Daten_Dominik` -> Der Ordner wird ihm in der Netzwerkliste gar nicht erst angezeigt.
  * Hat er Leserecht -> Der Ordner ist sichtbar.