Mit den Files Access Control- und Workflow-Apps lassen sich automatische Regeln definieren, die bei bestimmten Datei-Operationen reagieren — z.B. Sharing externer Files blocken, automatische Tags vergeben, Datei-Konvertierungen anstoßen. Bei größeren Setups mit Compliance-Anforderungen sehr nützlich, im Privatkontext eher Spielerei.
Voraussetzungen
In Verwaltungs-Einstellungen → Apps aktivieren:
- Files Access Control — verhindert Aktionen
- Workflow Engine — triggert Aktionen
- (Optional) Workflow: Convert files — automatische Konvertierungen
Beide Apps zeigen sich danach unter Verwaltungs-Einstellungen → Workflow.
Files Access Control — Regeln, die Aktionen blocken
Klassisches Anwendungsfeld: bestimmte Datei-Aktionen verbieten unter definierten Bedingungen.
Beispiel-Regeln
Sharing für vertrauliche Dokumente blocken:
| Bedingung | Aktion |
|---|---|
| Tag = „Vertraulich” UND geteilt mit externem User | Aktion verweigern |
→ Files mit dem Tag „Vertraulich” lassen sich gar nicht extern teilen. User sieht „Aktion blockiert”-Hinweis.
Upload-Größe begrenzen für bestimmte Gruppe:
| Bedingung | Aktion |
|---|---|
| Gruppe = „Praktikanten” UND Datei > 100 MB | Upload verweigern |
Sharing nur an bestimmte Gruppen:
| Bedingung | Aktion |
|---|---|
| Geteilt außerhalb Gruppe „Mitarbeiter” | Aktion verweigern |
Konfigurations-Sprache
Die Bedingungs-Eingabe ist „Wenn diese Bedingungen erfüllt sind, dann blockieren”. Bedingungen können kombiniert werden (UND/ODER):
- Datei-Größe (>, <, =)
- Datei-Mimetype (z.B. nur PDFs)
- User-Gruppe
- Tag
- Pfad (z.B. nur in Ordner
/Vertraulich) - Zeit (Uhrzeit, Wochentag)
- Sharing-Typ (User, Gruppe, Public)
- Empfänger des Sharings
Limits
Files Access Control ist kein DRM. Es verhindert die Sharing-Funktion in Nextcloud, aber:
- User kann Datei runterladen und manuell verschicken
- User mit Edit-Rechten kann Inhalt kopieren
Realistisch: gegen versehentliche Falsch-Aktion gut, gegen aktive böswillige User wenig wirksam.
Workflow Engine — automatische Trigger
Bei Datei-Events (Upload, Änderung, Sharing) automatisch was tun.
Beispiel-Triggers
Auto-Tag bei Upload in bestimmten Ordner:
| Trigger | Aktion |
|---|---|
Datei-Upload in /Eingehende-Rechnungen | Tag „Rechnung” automatisch vergeben |
Auto-Notifikation bei externem Sharing:
| Trigger | Aktion |
|---|---|
| Sharing mit externem User | Mail an Admin senden |
Auto-Konvertierung:
| Trigger | Aktion |
|---|---|
Upload .docx in /Archiv | Auto-Konvertierung zu PDF |
(Letzteres braucht die Workflow-Convert-App.)
Verfügbare Trigger-Aktionen
- Tag setzen / entfernen
- Datei verschieben
- Mail-Benachrichtigung senden
- Webhook auslösen (an externes System)
- Auto-Konvertierung in PDF
Bei xaweho-Setups sind die Standard-Aktionen aktiv. Custom-Aktionen via Webhook können wir auf Anfrage einrichten — Ticket reicht.
Praktische Use Cases
Vereins-Setup
- Tag „Mitgliederdaten” → kein Public-Sharing erlaubt
- Auto-Tag „Protokoll” für alle Files in
/Vorstand/Protokolle - Mail-Benachrichtigung an Vorstand bei externem Sharing
Firmen-Setup
- Datei-Upload >500 MB nur für Gruppe „Admin”
- Tag „Personaldaten” → nur intern teilbar
- Auto-Konvertierung von Office-Files zu PDF im
/Archiv-Ordner
Praxis (Arzt / Anwalt / Steuerberater)
- Tag „Mandantendaten” → Public-Sharing blockiert
- Audit-Webhook bei jeder Sharing-Operation für Compliance-Logs
Familie / Privat
Meist Overkill. Eventuell:
- Auto-Tag „Foto” für alles in
/Photos(für später Suche)
Tag-Verwaltung
Tags sind die Basis vieler Regeln. Verwaltung:
- Verwaltungs-Einstellungen → Schlagwörter (Tags)
- Definieren von Tag-Typen:
- Sichtbar: alle User können den Tag sehen und vergeben
- Eingeschränkt: nur bestimmte Gruppen vergeben
- Unsichtbar: nur Admins, vergeben System-intern
Für Files-Access-Control-Regeln nutzt man oft eingeschränkte/unsichtbare Tags.
Tag-Vergabe
User kann manuell Tags vergeben: ⓘ-Sidebar einer Datei → Tags-Bereich → vorhandenen Tag wählen oder neuen anlegen.
Auto-Tagging via Workflow-Engine spart manuelle Vergabe.
Stolperfallen
Regel-Reihenfolge
Wenn mehrere Regeln greifen, ist die Reihenfolge wichtig. Erste passende Regel gewinnt. In der Workflow-UI kannst Du Regeln per Drag-Drop priorisieren.
Performance
Bei vielen Regeln und großen Setups (10.000+ Dateien) kann die Workflow-Auswertung Last erzeugen. Wir behalten Server-Performance im Auge — wenn auffällig, melden wir uns.
Externes Sharing-Verbot — Workaround?
User mit blockiertem externem Sharing kann das umgehen, indem er sein eigenes Public-Sharing-Recht nutzt (anderen User in Cloud, der dann re-shared). Daher: für echte Sharing-Restriktion muss man die Sharing-Berechtigung global pro Gruppe einschränken (in Sharing-Einstellungen als Admin).
User-Verwirrung
Wenn User unerwartet „Aktion blockiert” sieht, fragt er sich was los ist. Daher: Regeln klar dokumentieren, ggf. interne FAQ anlegen.
Häufige Fragen
Kann ich Workflows pro User unterschiedlich konfigurieren? Workflow-Regeln sind global oder gruppenbasiert. Pro-User unterschiedlich nicht direkt — aber über Gruppen-Mitgliedschaft simulierbar.
Audit-Logs — werden die geloggt? Workflow-Aktionen sind in der Aktivitäts-App sichtbar. Für tiefere Audit-Logs (mit Server-side-Persistenz, External-SIEM-Anbindung) brauchst Du zusätzliche Apps wie Activity Audit.
Performance-Impact von vielen Regeln? Bei <50 Regeln: kaum messbar. Bei >200 Regeln: spürbar. Empfehlung: Regeln effizient formulieren, oft genutzte Bedingungen zuerst.
Auto-Konvertierung — was ist der Trade-off? Konvertierung erzeugt eine zweite Datei (Original bleibt). Speicher verdoppelt sich. Bei großen Mengen: Storage-Auswirkung beachten.
Webhooks — bei welchen Triggern? Bei allen, die im Workflow-Setup als Trigger definiert sind. Webhook-URL deine eigene API, Nextcloud schickt JSON-POST mit Datei-Metadaten.
Können User die Workflow-Regeln sehen? User sehen nur Regeln, die ihnen sichtbare Tags zugewiesen haben. Admin-Regeln mit unsichtbaren Tags sind für User nicht erkennbar.
Was passiert bei Datei-Verschiebung — werden Tags mit verschoben? Ja. Tags hängen am File, nicht am Pfad.
Ist die Workflow-Engine Open Source? Ja. Alle Workflow-Apps sind Open Source.
Weiter geht’s
Erste Anmeldung als Nextcloud-Admin
Was Du nach der Bereitstellung Deiner Nextcloud machst — Login, Profil, wichtige erste Einstellungen, was wir machen und was Du machst.
Admin-GUI Übersicht — was Du wo findest
Die Verwaltungs-Einstellungen in Nextcloud sind groß. Hier eine Tour durch die wichtigsten Bereiche und was sie tun.
Benutzer und Gruppen anlegen
User für Familie, Verein oder Team anlegen, Gruppen organisieren, Quotas setzen, Login-Verhalten kontrollieren.
Sharing — Files mit anderen teilen, intern und extern
Files in Nextcloud teilen — innerhalb Deiner Cloud mit anderen Usern, mit Gruppen, oder extern per Sharing-Link.