Diese Anleitung beschreibt die Einrichtung von Freigaben unter OpenMediaVault (OMV) für ein Familien-Szenario mit abgestuften Berechtigungen.

Für Eilige hier der Ablauf in Kurzform:

1. 1. Benutzer anlegen: Erstelle Benutzer für `dominik`, `doro` und `sohn` unter Benutzer → Benutzer.
2. 2. Ordner erstellen: Erstelle die Verzeichnisse unter Datenspeicher → Freigegebene Ordner. Wichtig: Hier noch keine Berechtigungen (ACLs) anfassen!
3. 3. Rechte vergeben: Nutze nur das Menü Privilegien (nicht ACL!), um zu bestimmen, wer Lesen/Schreiben darf.
4. 4. SMB aktivieren: Aktiviere den Dienst unter Dienste → SMB/CIFS → Einstellungen.
5. 5. Freigaben erstellen: Füge die Ordner unter Dienste → SMB/CIFS → Freigaben hinzu.

—

Die größte Hürde in OMV ist der Unterschied zwischen Dateisystem-Rechten (Linux Ebene), ACLs (Access Control Lists) und Dienst-Rechten (SMB).

Die Goldene Regel für Heimanwender: Vermeide den Button “ACL” in OMV, wann immer es geht. Nutze stattdessen die Privilegien-Verwaltung. ACLs machen die Verwaltung unnötig kompliziert und überschreiben oft Linux-Standardrechte.

Der Benutzer `admin` ist nur für die Weboberfläche von OMV. Für den Dateizugriff unter Windows nutzen wir deinen persönlichen User.

Gehe zu Benutzer → Benutzer und klicke auf “Erstellen”:

• dominik:
  • Gruppen: `users`, `sudo` (falls du SSH nutzen willst), `ssh`.
  • Dies ist dein “Admin” für Daten.
• doro:
  • Gruppen: `users`.
• sohn:
  • Gruppen: `users`.

Hinweis: Unter Windows ist es am einfachsten, wenn der Benutzername und das Passwort in OMV identisch mit dem Windows-Login sind. Dann verbindet sich Windows oft automatisch ohne Login-Fenster.

Wir planen folgende Struktur als Beispiel:

• Daten_Dominik (Nur du)
• Dokumente_Eltern (Du und Doro)
• Mediathek (Alle, Sohn nur Lesen)
• Tausch (Alle Lesen/Schreiben)

Gehe zu Datenspeicher → Freigegebene Ordner und erstelle diese Ordner auf deinem Dateisystem (dem 10TB Pool).

Standard-Einstellungen beim Erstellen:

• Dateisystem: Wähle deinen Pool.
• Name: z.B. “Mediathek”.
• Berechtigungen: Wähle “Administrator: lesen/schreiben, Benutzer: lesen/schreiben, Andere: kein Zugriff” (Das entspricht chmod 770 oder 775).
• Wichtig: Lass die Finger von erweiterten ACL-Einstellungen beim Erstellen.

Hier passiert die Magie. Wir nutzen das OMV-interne Rechtesystem, das die Linux-Gruppen im Hintergrund steuert.

1. Markiere in der Liste unter Datenspeicher → Freigegebene Ordner einen Ordner (z.B. `Mediathek`).
2. Klicke oben in der Leiste auf das Icon Privilegien (Schild-Symbol oder User-Icon, je nach Theme).

Setze die Haken wie folgt:

Speichern nicht vergessen!

Damit Windows die Ordner sieht, muss der Dienst laufen.

1. Gehe zu Dienste → SMB/CIFS → Einstellungen.
2. Aktiviere den Dienst (Haken bei “Aktivieren”).
3. Klicke auf Speichern und bestätige die gelbe Leiste oben (“Änderungen anwenden”).

Jetzt verknüpfen wir die logischen Ordner mit dem Windows-Netzwerk.

Gehe zu Dienste → SMB/CIFS → Freigaben und klicke auf “Erstellen”. Wiederhole das für jeden Ordner (`Daten_Dominik`, `Mediathek`, etc.).

Einstellungen pro Share:

• Shared Folder: Wähle den Ordner aus (z.B. `Mediathek`).
• Öffentlich: Nein (Wichtig! Sonst kommt jeder ohne Passwort rein).
• Nur Gäste: Nein.
• Browsbar (Sichtbar): Aktiviert (Damit man sie im Netzwerk sieht).
• Papierkorb: Optional aktivieren (empfohlen für `Dokumente_Eltern`).

Der Trick für den Sohn (Sichtbarkeit): Standardmäßig sieht man unter Windows oft alle Ordner, bekommt aber beim Draufklicken eine Fehlermeldung (“Zugriff verweigert”), wenn man keine Rechte hat. Wenn du willst, dass der Sohn die Ordner `Daten_Dominik` gar nicht erst sieht, musst du (je nach OMV Version) in den erweiterten Optionen der SMB-Freigabe schauen. OMV regelt das meist über die “Privilegien” von Schritt 3 (Access Based Share Enumeration ist in OMV oft Standard oder via Extra-Option aktivierbar). Standardmäßig reicht Schritt 3: Er sieht den Ordner, kommt aber nicht rein.

1. Öffne den Windows Explorer.
2. Tippe in die Adresszeile: `\\IP-DEINER-OMV-NAS` (z.B. `\\192.168.178.50`).
3. Windows fragt nach Benutzer und Passwort.
   1. Du gibst ein: `dominik` / `deinPasswort`.
   2. Deine Frau an ihrem PC: `doro` / `ihrPasswort`.

Troubleshooting: Falls Windows meckert, dass man sich nicht mit unterschiedlichen Benutzern zum gleichen Server verbinden kann:

1. Öffne CMD (Eingabeaufforderung).
2. Tippe: `net use * /delete` (Löscht alle bestehenden Verbindungen).
3. Versuche es erneut.

• Storage/Dateisystem: Hier liegen die Daten physikalisch.
• Shared Folders: Hier definierst du logische Einheiten und wer (User) zugreifen darf (via Privilegien).
• SMB/CIFS: Hier definierst du wie zugegriffen wird (Windows Protokoll) und veröffentlichst die logischen Einheiten im Netzwerk.

Standardmäßig sieht jeder Benutzer alle Ordner im Netzwerk, auch wenn er keinen Zugriff hat. Um Ordner für nicht berechtigte Nutzer komplett auszublenden, muss Access Based Share Enumeration aktiviert werden.

Da OMV meist keinen direkten Haken dafür in der GUI hat, nutzen wir die “Extra Optionen” von Samba.

1. Gehe zu Dienste → SMB/CIFS → Einstellungen.
2. Scrolle nach unten zum Bereich Erweiterte Einstellungen.
3. Suche das Feld Extra Optionen.
4. Füge dort folgende Zeile ein:

access based share enum = yes

1. Klicke auf Speichern und bestätige die Änderungen (gelber Balken oben).

Damit das funktioniert, müssen die Berechtigungen (aus der vorherigen Anleitung Schritt 3) strikt gesetzt sein.

Beispiel: Wenn der User `sohn` in der Gruppe `users` ist und der Ordner `Daten_Dominik` der Gruppe `users` Leserechte gibt, wird er den Ordner sehen (auch mit ABSE = yes).

Wichtig: Stelle sicher, dass unter Privilegien bei den betroffenen Ordnern die Haken für die unerwünschten User/Gruppen wirklich entfernt sind.

Windows merkt sich oft die alte Ansicht. Damit die Ordner verschwinden, muss man die Verbindung oft einmal komplett trennen.

Methode A (Schnell): Starte den PC des Sohnes neu.

Methode B (Ohne Neustart): Öffne die Eingabeaufforderung (CMD) und tippe:

net use * /delete

(Bestätige mit J/Y). Danach neu verbinden.

Mit `access based share enum = yes` scannt der Server beim Login des Users die Rechte.

• Hat `sohn` kein Leserecht auf `Daten_Dominik` → Der Ordner wird ihm in der Netzwerkliste gar nicht erst angezeigt.
• Hat er Leserecht → Der Ordner ist sichtbar.