Nextcloud: Fragen aus dem Business-Umfeld

Sobald Nextcloud im Business-Umfeld zum Einsatz kommt, stellen sich besondere Fragen, die wir hier inklusive Antworten sammeln (Q&A).

Nextcloud ist eine freie Software für das Speichern von Daten auf einem eigenen Server. Bei Einsatz eines Clients wird der Server automatisch mit einem lokalen Verzeichnis synchronisiert. (Wikipedia)

Fragen zur Dateifreigabe

Q: Alice gibt "datei.txt" frei, bei Bob existiert bereits eine Datei mit gleichem Namen. Was passiert?

A: Dann taucht die freigegebene Datei bei Bob als "datei (2).txt" auf. In der Weboberfläche wird sie mit dem Hinweis "Shared" angezeigt.

Q: Alice gibt Bob eine Datei frei, Alice wird deaktiviert - und dann?

A: Bob kann nach wie vor auf freigegebene Dateien und Ordner zugreifen. Das gilt auch für freigegebene Links. Wichtig, wenn Mitarbeiter das Unternehmen verlassen, aber Freigaben aufgebaut haben.

Q: Alice gibt Bob eine Datei frei, Alice wird gelöscht?

A: Bob kann nicht mehr auf die freigegebenen Dateien und Ordner zugreifen, sie verschwinden aus seinem Datei-Listing. Das gilt auch für freigegebene Links.

Q: Alice wird gelöscht und unter gleichem Benutzernamen wieder angelegt - was passiert mit den Dateien?

A: Alle von Alice ursprünglich angelegten Dateien und Links werden beim Löschen des Accounts entfernt. Ein neu angelegter Benutzer mit dem gleichen Benutzernamen startet mit einer leeren/initialen Dateibasis.

Q: Alice möchte der Gruppe B, zu der unter anderem Bob gehört, eine Datei freigeben - Bob soll die Datei trotzdem nicht sehen.

A: Geht so nicht. Die Lösung wäre, die Datei einer Gruppe freizugeben, zu der Bob nicht gehört, oder alle erlaubten Benutzer einzeln aufzulisten.

Q: Alice gibt Bob einen Ordner ohne Edit-Rechte frei. Auf einer im Ordner enthaltenen Datei erteilt sie Bob die Edit-Rechte.

A: Edit-Rechte werden durchvererbt, Bob kann die Datei daher nicht editieren - egal, was auf Ebenen darunter an Rechten vergeben wird.

Q: Alice gibt Bob einen Ordner mit Edit-Rechten frei. Auf einer im Ordner enthaltenen Datei entzieht sie Bob die Edit-Rechte.

A: Edit-Rechte werden durchvererbt, Bob kann die Datei daher editieren - egal, was auf Ebenen darunter an Rechten vergeben wird.

Q: Was kann an einer Datei in einem freigegebenen Ordner eingeschränkt werden?

A: Freigegebenen Dateien kann man zusätzlich die Rechte "Edit" und "Reshare" erteilen. Edit-Rechte werden vom darüber angelegten Ordner vererbt. Das im übergeordneten Ordner erteilte Recht auf erneutes Teilen kann entzogen werden ("can reshare" abwählen).

Q: Können Rechte auf Dateien auch anderweitig vergeben werden?

A: Ja. Mit Hilfe der "File Access Control"-App können Admins Regeln für den Zugriff auf Dateien sehr genau definieren - viel tiefgreifender als ein Benutzer.

Fragen zur LDAP / AD-Integration (Active Directory)

Q: Wie verhält es sich mit lokal in Nextcloud angelegten Benutzern versus Benutzern aus dem AD?

A: Ein nativer Nextcloud-Benutzer "Alice" ist ein anderer Benutzer als "Alice" aus dem AD/LDAP. Sind beide (mit dem gleichen Passwort) vorhanden und Alice meldet sich an, wird der lokale/native Benutzer angemeldet. Wer also bereits mit einem nativen Nextcloud-Benutzer gearbeitet hat und nun den Account über LDAP zur Verfügung gestellt bekommt, muss die Dateien vom Nextcloud-Admin in den neuen Account transferieren lassen.

Q: Lassen sich nach wie vor Benutzer erstellen und verwenden, die nicht aus dem AD stammen?

A: Ja.

Q: Wie werden AD-Benutzer in Nextcloud angelegt?

A: Nextcloud importiert alle Benutzer und Gruppen abhängig von den hinterlegten LDAP-Queries. In der Regel wird die "objectGUID" zum Benutzernamen; das im LDAP-Backend in Nextcloud konfigurierte Login-Attribut wird für den "Full Name" verwendet. Einloggen kann man sich je nach Konfiguration mit seinem AD-Benutzernamen (ohne Angabe einer Domain), seinem Display Name und/oder seiner hinterlegten E-Mail-Adresse. Gehört ein Benutzer mehreren Gruppen an, wird dies durch Nextcloud übernommen.

Q: Wie kann ich nur bestimmten AD-Benutzern den Zugriff auf Nextcloud verweigern?

A: Am einfachsten solche Benutzer im Nextcloud deaktivieren.

Q: Kann man in Nextcloud nach AD-Benutzern suchen, z.B. für die Freigabe?

A: Ja, allerdings nur nach dem "Full name".

Q: Sind Leerzeichen im Benutzernamen ein Problem?

A: Nein. Gross-/Kleinschreibung des Benutzernamens spielt übrigens auch keine Rolle.

Q: Welche AD-Attribute werden übernommen?

A: - AD:displayName > Nextcloud:displayName - AD:mail > Nextcloud:email - AD:objectGUID > Nextcloud:Username - AD:sAMAccountName > Nextcloud:uid

Q: Was passiert, wenn im AD Benutzer neu angelegt oder geändert wurden?

A: Änderungen im AD/LDAP werden beinahe sofort durch Nextcloud übernommen. Geänderte Benutzernamen sind kein Problem, solange die GUID des Benutzers unverändert bleibt.

Q: Muss ich etwas in Nextcloud tun, um neu angelegte AD-Benutzer zu synchronisieren?

A: Nein, der im AD neu angelegte Benutzer wird sich sofort in Nextcloud anmelden können.

Q: Im Nextcloud fehlt ein Benutzerkonto aus dem AD.

A: Möglicherweise liegt der Benutzer im AD an einem Ort, den die voreingestellte LDAP-Query nicht erfasst, ist gelöscht worden, oder hat einen Login-Namen, der nicht in das sonst übliche Schema passt.

Q: Was passiert, wenn ein Benutzer im AD deaktiviert wird?

A: Dann kann sich der Benutzer nicht mehr an Nextcloud anmelden und erhält beim Versuch sich einzuloggen die Meldung "Wrong password."

Q: Was passiert, wenn ein Benutzer im AD gelöscht wird?

A: Der Benutzer ist anschliessend nicht mehr in der Liste der Benutzer im Nextcloud auffindbar, egal ob er vorher aktiv oder deaktiviert war. Er ist allerdings noch "versteckt" als "remnant"-Benutzer im Nextcloud vorhanden und kann bei Bedarf auf der Kommandozeile gelöscht werden.

Q: Was passiert, wenn ein AD-Benutzer im Nextcloud gelöscht wird?

A: Nextcloud wird versuchen, den Benutzer im AD zu löschen. Je nach Berechtigung klappt das, oder scheitert mit einer Fehlermeldung. Falls man dem Benutzer eigentlich nur den Zugriff auf Nextcloud entziehen wollte, empfehlen wir, diesen einfach in Nextcloud zu deaktivieren.

Fragen zu Windows-Netzlaufwerken

Q: Wie bindet man ein Windows-Netzlaufwerk in Nextcloud ein?

A: In der Nextcloud-Administration unter "External Storage > SMB/CIFS".

Q: Wird der Inhalt des Windows-Shares durch den Nextcloud-Client gesynct?

A: Nein, die Benutzer greifen wie gewohnt auf das Netzlaufwerk zu.

Q: Wie arbeite ich unterwegs mit dem Netzlaufwerk?

A: Unterwegs arbeitet man am besten in der Nextcloud-Weboberfläche auf dem Windows-Share: dieser wird dort mit einem speziellen Icon angezeigt. Der Share kann so eingebunden werden, dass die Berechtigungen des Benutzers aus dem AD übernommen und angewendet werden.

Fragen zu Security-Features in Nextcloud

Q: Können Funktionen auf bestimmte Benutzer eingeschränkt werden (z.B. ein Benutzer darf nur mit internen NextCloud-Benutzern teilen)?

A: Nein. Einige Module können auf bestimmte Gruppen eingeschränkt werden; Funktionen einzelner Module jedoch nicht.

Q: TOTP soll für alle Benutzer im Unternehmen Pflicht sein

A: Das lässt derzeit nicht konfigurieren, es existiert aber ein Feature-Request.

Clients und Apps

Q: Gibt es für den Nextcloud-Client auf Windows eine MSI-Datei für die Unattended Installation bzw. Verteilung per GPO?

A: Aktuell nicht, die Diskussion darüber wird hier geführt.

Offizielle Dokumentation

LDAP-Modul für Nextcloud v13 und v14.


Related Posts

Published by

Markus Frei

Markus Frei

von der Linuxfabrik GmbH.