Zugriffssteuerungseinträge auf Xsan-Volumes werden als hexadezimaler Code angezeigt

Wenn dein Mac die Einträge der Zugriffssteuerungsliste (ACL) auf einem Xsan-Volume nicht auflösen kann, wird der Benutzer- oder Gruppenname im Zugriffssteuerungseintrag (ACE) durch eine transienten Globally Unique Identifier (GUID) ersetzt.

Wenn du die ACL in Xsan Admin, Server Admin oder dem Befehlszeilen-Dienstprogramm "ls" anzeigst, wird der erwartete Benutzer oder die erwartete Gruppe u. U. durch einen hexadezimalen Code ähnlich dem Text in diesem Beispiel ersetzt:

drwxrwx---+ 3 root wheel 2048 Oct 15 00:09 /Volumes/MyXsanVolume 0: FFFFEEEE-DDDD-CCCC-BBBB-AAAA82000000 allow list,search,readattr,readextattr,readsecurity 1: group:ETS-W2K3\xsan_admins allow list,search,readattr,readextattr,readsecurity

Die transiente GUID ist ein Platzhalter, der weder einen Benutzer noch eine Gruppe repräsentiert, sodass die betroffenen ACEs nicht durchgesetzt werden.

Das Systemprotokoll kann auch Einträge mit dem Hinweis "unable to map SID" wie die folgenden enthalten:

kernel[0]: xsanfs_getsecurity: cvp 0xffffff8021ac3400 nt_sd_key 0xec995c516e: unable to map SID S-1-5-21-4096-987654321-987654321-2002 (error 2)

In diesem Fall werden Xsan-ACEs möglicherweise nicht richtig aufgelöst. Löse das Problem mit der entsprechenden Vorgehensweise für die nachfolgenden Symptome.

Benutzer oder Gruppe nicht vorhanden

Wenn du einen Benutzer oder eine Gruppe aus einem Verzeichnisdienst entfernst, bleiben alle für diesen Benutzer oder diese Gruppe definierten ACEs im Dateisystem erhalten und der ACE wird als transiente GUID angezeigt. Lösche in diesem Fall den betroffenen ACE oder setze ihn auf einen vorhandenen Netzwerkbenutzer oder eine vorhandene Gruppe zurück.

Probleme bei der Kommunikation mit dem Verzeichnisserver

Netzwerkbenutzer- oder Gruppen-ACEs auf Xsan-Volumes werden nicht aufgelöst, wenn der Netzwerkverzeichnisserver nicht erreichbar ist. Vergewissere dich, dass der Verzeichnisserver online ist, und überprüfe die Netzwerkverbindung zwischen dem Xsan-Client und dem Verzeichnisserver.

Lokale Benutzer oder Gruppen

ACEs, die mit einem lokalen Benutzer oder einer lokalen Gruppe definiert sind, werden nur auf dem Mac, auf dem sie erstellt wurden, richtig aufgelöst. Damit ACLs auf jedem SAN-Computer richtig aufgelöst werden, richte ein Netzwerkverzeichnis aus Benutzern und Gruppen ein oder trete einem bei, wie Open Directory oder Active Directory. Verwende nur Benutzer und Gruppen aus dem Netzwerkverzeichnis in Xsan-ACLs.

Wenn du kein Netzwerkverzeichnis hast und auf allen Xsan-Systemen macOS Sierra installiert ist, kannst du die Zugriffsrechte auf dem Xsan-Volume ignorieren. Dann können alle Benutzer auf alle Dateien auf dem Xsan-Volume zugreifen. Um diese Option zu aktivieren, starte die Server-App auf dem MDC, bearbeite die Einstellungen des Xsan-Volumes und aktiviere die Option "Ignore Permissions" (Zugriffsrechte ignorieren).