Synology Photos Problem bei der Nutzung von Usergruppen in SP

[Kurt-oe1kyw]

Thema hier weitergeführt in einem separaten Thema.
Usergruppen in Synology Photos verwenden

Zutrittsberechtigungen und in weiterer Folge Ordnerberechtigungen für Usergruppen in Synology Photos.
1. im DSM die Usergruppe anlegen
2. in SP dann dieser Usergruppe:
2a. die Zugriffsberechtigung erteilen
2b. die Ordnerberechtigungen erteilen

Danach sollte jeder User dieser Usergruppe die nach den Zugriffsberechtigungen und Ordnerberechtigungen erteilten Rechte erhalten und entsprechend Ordner und Bilder sehen können.

Beispiel die Gruppe hat die Berechtigung erhalten einen Unterordner betrachten zu dürfen, dh. die User dieser Gruppe können sich die Fotos in diesem Unterordner ansehen, aber sie können nichts markieren denn ihre Ordnerberechtigung steht nur auf "Betrachter", also Fotos ansehen aber nicht mehr.

Das funktioniert hier bei uns einwandfrei mit DSM 7.2-64570-Update 2 und Synology Photos Programmpaketversion 1.5.0-0488

Oben Punkt 1: Die Usergruppe anlegen, dazu DSM > Hauptmenü > Systemsteuerung > Benutzer und Gruppe > eine Usergruppe erstellen/anlegen:



Die neue Usergruppe mit dem Namen "sp_normalgruppe" wurde angelegt.
Jetzt die gewünschten User dieser Gruppe zuweisen:



Die DSM Vorbereitungen sind jetzt abgeschlossen. Der User testuser_normal4 wurde der Benutzergruppe "sp_normalgruppe" zugeteilt.

Jetzt können in SP durch den Admin von SP (für den freigegebenen Bereich) die benötigten Zugriffsberechtigungen festgelegt werden:
Admin von SP ist eingeloggt in SP > rechts oben "Einstellungen" anklicken > neues Fenster "Einstellungen" > Umschalten oben auf "Freigegebener Bereich" > graue Schaltfläche "Zugriffsberechtigungen festlegen" anklicken.
Die neue Gruppe "sp_normalgruppe" muss zuerst oben von der Auswahlliste (Aufruf über das kleine schwarze Dreieck) mit dem PLUS-Zeichen nach UNTEN IN DIE LISTE transferiert werden und dann mit Speichern abgeschlossen werden:

Nach dem Speichern steht die Gruppe "sp_normalgruppe" zur Auswahl für die Ordnerberechtigungen zur Vergabe der Rechte zur Verfügung.
WICHTIG! Nach dem Speichern von "Zugriffsberechtigungen" schliess sich das Fenster und das vorher darunterliegende/verdeckte Fenster "Einstellungen" ist wieder zu sehen >> UNBEDINGT AUCH HIER AUF SPEICHERN KLICKEN! Damit die Änderungen der Zugriffsberechtigungen übernommen werden! Sonst geht die Einstellung der Zugriffsberechtigung für "sp_normalgruppe" verloren!

Also Fenster Einstellungen wurde ebenfalls mit SPEICHERN GESCHLOSSEN! Und darf keinesfalls rechts oben mit dem X geschlossen worden sein!
Damit ist Punkt 2a von oben erledigt.

Jetzt fehlt nur noch Punkt 2b, Vergabe der Ordnerberechtigungen für die Usergruppe "sp_normalgruppe":
Admin ist eingeloggt in SP > freigegebener Bereich > ein Ordner wird geöffnet und dort ein Unterordner mit Fotos > die Fotos vom Unterordner sind jetzt zu sehen!
Rechts oben auf die 3 Punkte (Mehr) klicken > Ordnerberechtigungen festlegen anklicken >
es werden jetzt die Ordnerberechtigungen für diesen Unterordner definiert für User, aber auch Usergruppen und welche Stufe sie erhalten sollen für den zuvor angewählten Unterordner wo die Fotos zu sehen waren.
Beim ersten Mal wenn die neue Usergruppe noch nicht unten in der Liste zu sehen ist, dann im Feld "Liste der Eingeladenen" mit dem kleinen schwarzen Dreieck auswählen und mit dem Pluszeichen nach unten in die Liste "transferieren":
Dann die Zeile in der Liste auswählen und die Stufe zB auf Betrachter stellen. Die GRUPPE (=also alle USER welche Mitglieder dieser GRUPPE sind, zur Erinnerung haben wir Anfangs im DSM angelegt), die Gruppe hat jetzt auf den zuvor geöffneten Ordner mit den Bildern die Ordnerberechtigung "Betrachter" erhalten. Mit Speichern bestätigen!


Ab jetzt können alle User welcher der GRUPPE "sp_normaluser" zugeordnet wurden die Bilder in diesem Ordner betrachten.
Siehe Bild 1 oben.
Zur Kontrolle ob die Einstellungen korrekt übernommen wurden wieder als Admin in SP einloggen > rechts oben Einstellungen anklicken > Fenster Einstellungen öffnet sich > Freigegebener Bereich auswäheln > Zugriffsberechtigungen festlegen anklicken > JETZT in der Zeile "sp_normalgruppe" deren Zugriffsstufe auf Benutzerdefiniert gestellt wurde in der Spalte ZUWEISEN auf das kleine ORDNERSYMOL KLICKEN:



Es öffnet sich jetzt das Übersichtsfenster mit den ganzen Ordnerberechtigungen von der Gruppe "sp_normalgruppe" und der Haken auf den Unterordner "Weihnachtstest 2022" ist vorhanden, die Gruppe ist berechtigt die Fotos darin zu sehen.
Dh alle User welche der Gruppe "sp_normaluser" angehören (haben wir im DSM ganz am Anfang gemacht!) können jetzt die Bilder sehen.




Fenster rechts unten mit OK schließen.

Hinweis:
Wenn ihr einer GRUPPE Ordnerberechtigungen erteilt, dann gilt das FÜR ALLE Mitglieder dieser Gruppe!
Durch die "Gruppenberechtigung" und Ordnereinstellungen sind die User die Mitglied in der Gruppe sind nach den Gruppeneinstellungen berechtigt!

Das nächste Bild macht es deutlicher!
Wir wechseln wieder in die Zugriffsberechtigungen und wählen aber jetzt die ZEILE VOM USER "testuser_normal4" aus!
Also nicht die Gruppe sondern die Userzeile und klicken wieder auf das kleine Ordnersymbol um die Einstellungen zu sehen.
Wir sehen jetzt eine ÜBERSICHT vom testuser_normal4 von dessen Ordnerberechtigungen, also seine "User-Einstellungen":


Der USER hat hier KEINEN HAKEN gesetzt auf den Ordner Weihnachtstest 2022! Als "User" könnte er also normalerweise die Bilder nicht sehen.
ABER durch seine GRUPPENBERECHTIGUNG wird es ihm ermöglicht!

Daher Aufpassen und BEIDE Berechtigungen kontrollieren, nicht das man sich wundert warum der User "testuser_normal4" keinen Haken hat bei den Ordnerberechtigungen im Ordner "Weihnachtstest 2022" und er aber trotzdem ungehindert im freigegebenen Bereich den Ordner und dessen Bilder sieht > WEIL er einer GRUPPE angehört wo die GRUPPE (und damit ihre Mitglieder) dazu berechtigt wurde!

 

[Benares]

Danke dir.
Zum Hintergrund: Ich hatte früher mal einfach die Gruppe "users" berechtigt. Das funktionierte lange sehr gut.
Mit irgendeinem Update von SP waren diese Berechtigungen einfach weg.
Also eine neue Gruppe "photousers" mit 2 Membern angelegt, funktionierte zunächst, dann wieder weg.
Seitdem habe ich die beiden einzeln berechtigt, über eine Gruppe funktioniert es nicht mehr. Was wohl geht, sind die administrativen Gruppen.

 

[Kurt-oe1kyw]

Ok, ich habe zwischenzeitlich einiges gezeichnet, siehe Beitrag 1 oben.
Kannst du im DSM eine neue Gruppe mit Namen "photousers" anlegen, deren Mitglieder eintragen, bei Berechtigungen den freigegebenen Ordner photo auf Lesen/Schreiben setzen (die Detailrechte werden später ja dann in SP gemacht) daher hier jetzt auf "Lesen/Schreiben" setzen.
Und die "Anwendungen" Zeile Synology Photos für die GRUPPE "photousers" auf ZULASSEN setzen.
Im DSM mit Speichern bestätigen.

Jetzt wie oben im Startbeitrag 1 erklärt die neue Gruppe "photousers" beim ersten Aufruf auswählen und in die Liste hinuntertransferieren, dann ist die dort immer verfügbar.
Im Anschluss dann die Zugriffsberechtigung und die einzelnen Ordnerberechtigungen für die GRUPPE "photouser" in SP einstellen.
Die Fenster immer mit SPEICHERN SCHLIESSEN, ALLE FENSTER die geöffnet wurden mit SPEICHERN beenden! Sonst werden die Einstellungen nicht von der Synology übernommen.
Jetzt noch mal mit einem Normaluser einloggen in SP welcher der Gruppe "photousers" zugeteilt wurde im DSM.
Dieser Normaluser sollte jetzt alle Ordner und Bilder sehen können für welche er

a) als USER berechtigt wurde und
b) als Mitglied einer USERGRUPPE berechtigt ist.

Probier mal, das sollte gehen.
Die Zugriffsstufe muss Benutzerdefiniert sein, weil VOLLZUGRIFF bedeutet uneingeschränkten Zugriff auf ALLE Ordner.
Nicht verwechseln mit Adminrechten! Es bedeutet nur das User mit VOLLZUGRIFF keiner Beschränkung zum Sehen der Ordner und Bilder haben, sie können alles sehen.
Nur jene mit "Benutzerdefiniert" sehen nur jene Teile für welche sie berechtigt wurden.

Ich glaube auch es hat damit zu tun dass man die System-Usergruppen nicht ändern sollte, also zB Gruppe users, http usw usw.
Nur jene welche wir selber Anlegen da klappt das dann auch wie gewünscht mit der Gruppenberechtigung in SP als Gruppe.

 

[Benares]

Ich beschreibe dir mal, wie sich das bei mir darstellt.

Ausgangslage

dann wähle ich oben photousers/Benutzerdefiniert und drücke auf +


die Auswahl an Ordnern erscheint und ich setze ein paar


nach "Fertig" sieht es dann so


so, und jetzt kommts. Wenn ich auf Speicher und dann nochmal auf Speichern klicke, und dann wieder reingehe ist die Zeile mit photousers weg. Auch wenn im letzten Screenshot gleich wieder auf zuweisen klicke, ist da (vorletzter Screenshot) nichts mehr gesetzt. Bei Benutzern passiert das nicht, da läuft alles wie erwartet.

Und noch komischer: Früher war mal "users" berechtigt, bis es irgendwann mal nicht mehr da war. Hinzufügen ging auch nicht. Dann hab ne neue Gruppe "photousers" gemacht,, das ging dann zunächst, war aber am nächsten Tag wieder verschwunden, und hinzufügen ging auch nicht mehr.

 

[Benares]

Mal ne Frage an euch. In welchem Nummern-Bereich liegen GIDs eurer Gruppen? (s. /etc/group)
Bei mir liegen die letzten neu angelegten alle jenseits der 65536. Wusste nicht, dass das überhaupt geht, aber geht wohl.
Vielleicht ist das ja mein Problem?

 

[plang.pl]

Liegen bei mir auch drüber

 

[Benares]

Mmh, Mist bzw. Danke. Ich dachte schon, dass sei mein Problem, dass ich SP nicht mehr über Gruppen berechtigen kann.
Dann muss es wohl was anders sein, die Suche geht weiter ...

 

[Kurt-oe1kyw]

Langsam.

Wenn ich auf Speicher und dann nochmal auf Speichern klicke, und dann wieder reingehe ist die Zeile mit photousers weg

Gehen wir an den Start zurück.
Voraussetzung, du bist als admin, als ADMIN (5 Buchstaben kleingeschrieben) als admin im DSM angemeldet. Nicht als User mit Adminrechten, nicht als User mit delegierten Rechten usw. sondern als admin (möglichweise deaktiviert und du musst ihn jetzt aktivieren, mach mal).

SP ist GESCHLOSSEN, nicht geöffnet! Status= SP läuft, ABER NICHT GEÖFFNET!
DSM der User admin ist erfolgreich eingeloggt im DSM.
DSM > Hauptmenü > Systemsteuerung > Benutzer und Gruppe > Register oben "Gruppe" > ERSTELLEN anklicken.
Register Gruppeninformation > Gruppenname = photousers
Register Mitglieder > mindestens ein Mitglied also eine Mitgliedszeile muss mit blauen Haken in der Spalte Mitglieder markiert sein!
Die User müssen hier für die Gruppe photousers definiert werden! Die User werden hier im DSM der Gruppe zugeordnet!
Register Berechtigungen > runterscrollen zur Zeile homes > Haken setzen in Spalte Lesen/Schreiben, weiter runterscrollen zur Zeile photo > ebenfalls Haken setzen in Spalte "Lesen/Schreiben"!
Register Anwendungen > runterscrollen zur Zeile Synology Photos > Haken setzen auf "Zulassen".
Fenster rechts unten mit dem blauen SPEICHERN schliessen.
Die neue Gruppe photousers ist jetzt erfolgreich für SP angelegt.
WICHTIG! SP darf NICHT geöffnet sein, falls doch SP unbedingt schließen!
Neue Webbrowsersitzung starten > SP starten und als admin in SP einloggen. Als User admin!
SP rechts oben Einstellungen.
Neues Fenster Einstellungen > Register "Freigegebener Bereich" (der admin verwaltet den freigegebenen Bereich) > Schaltfläche Zugriffsberechtigungen festlegen anklicken.

Ganz oben 1. Zeile schwarzes kleines Dreieck anklicken
Aus der sich öffnenden Auswahlliste die Zeile photousers auswählen > rechts davon Benutzerdefiniert > PLUS Zeichen anklicken!
ERSTMALIG öffnet sich das Fenster Ordnerberechtigungen, gewünschte Haken setzen > RECHTS UNTEN MIT ROTEN FERTIG bestätigen!
Fenster Ordnerberechtigungen schließt sich.
Der Eintrag photousers im jetzt zu sehenden Fenster Zugriffsberechtigungen wandert jetzt nach unten in die Liste der Benutzernamen!
RECHTS UNTEN auf das rote Speichern klicken!
Das Fenster "Einstellungen" ist jetzt wieder zu sehen > RECHTS UNTEN AUF DAS ROTE SPEICHERN klicken!
Alles Fenster wurden mit Fertig, bzw Speichern geschlossen.

Kontrolle:
Immer noch als admin in SP angemeldet.
Einstellungen > Fenster Einstellungen > Register Freigegebener Bereich > Zugriffsberechtigungen festlegen graue Schaltfläche anklicken
In der unteren "Berechtigtenliste" muss das Gruppenicon mit 2 Personen-Icon und dem Namen photousers zu sehen sein, Zugriffsstufe ist Benutzerdefiniert > in der Spalte Ordnerberechtigungen auf das kleine schwarze ORDNERSYMBOL KLICKEN, es wird rot!
Fenster Ordnerberechtigungen muss zu sehen sein mit den von dir gesetzten Haken in den einzelnen Ordnerzeilen mit den Berechtigungshaken in den jeweiligen Spalten.
RECHTS UNTEN MIT ROTEM OK bestätigen.
Fenster Zugriffsberechtigungen rechts unten mit rotem Speichern schliessen
Fenster Einstellungen rechts unten mit rotem Speichern schliessen
Alle USER welche im DSM in die Gruppe photousers aufgenommen wurden haben jetzt ihre Ordnerberechtigungen als User UND zusätzlich die Gruppenberechtigungen von der Gruppe photousers.

Hardcore Test mit einem User mit dem Namen testuser_normal3, er ist als USER nicht mal in der Userliste der berechtigten von SP!
Sein Username steht noch oben in der Auswahlliste zur Auswahl damit er in die untere Liste der Userberechtigten transferiert wird.
JETZT steht er aber als User immer noch in der Auswahlliste, sein Eintrag unten existiert daher als USER nicht:

siehe Bild oben der USER ist für nichts in SP berechtigt, er steht noch gar nicht unten in der Auswahlliste der berechtigten.
dh Userberechtigung in SP für diesen User ist NULL, NIX, NAFTA!
ABER er wurde im DSM der GRUPPE photousers als Mitglied zugeteilt!

Die Gruppe photousers hat folgende Ordnerberechtigungen erhalten:

Die Gruppe photousers darf also im freigegebenen Bereich die Ordner 2021 und 2022 ansehen und darin befindliche Bilder herunterladen.

Der User testuser_normal3 der als USER nicht mal irgendeine Berechtigung für SP erhalten hat, er ist als USER noch gar nicht in der Liste unten der Berechtigten von SP (siehe Bild 1 oben!) loggt sich jetzt in SP ein und Aufgrund seiner GRUPPENZUGEHÖRIGKEIT zur Gruppe photousers (im DSM zugeteilt! *) sieht er aber alle öffentlichen Ordner und die beiden Ordner 2021 und 2022 weil er als Gruppenmitglied dazu berechtigt ist:

Die Gruppenberechtigung von photousers (in der Gruppe ist testuser_normal3 Mitglied im DSM zugeordnet) erlaubt ihm die Ordner 2021 und 2022 zu sehen und deren Bilder herunter zu laden.


*)


Anmerkung für Mitlesende:
Die Gruppen müssen nicht extra für SP für dessen normalen Betrieb angelegt werden! Im Normalfall reicht die Berechtigungen als USER zu vergeben.
ABER wenn jemand zB für einen Verein Fotos zur Verfügung stellen möchte und der Verein hat 100 Mitglieder dann ist es mit der Gruppenberechtigung viel einfacher dies zu Verwalten und realisieren.
Sonst müsste man 100 x für jedes einzelne Vereinsmitglied die Ordnerberechtigung Erstellen und Vergeben als USER.
Bei so einer Anzahl macht es also Sinn einmal eine Gruppe anzulegen und einmal im DSM die 100 User der Gruppe als Mitglied zuzuordnen und in SP braucht man dann nur 1 x die Ordnerberechtigungen für die Gruppe vergeben, also 1 x und nicht 100x.
Die 100 Mitglieder der Gruppe erhalten dann die einmalig vergebenen Ordnerberechtigungen der Gruppe.
Ausserdem ist es viel einfacher und übersichtlicher einen User mit einem Mausklick im DSM aus der Gruppenmitgliederliste durch Entfernen vom Haken aus der Gruppe zu lösen, als mühsam all seine Userberechtigungen zu entfernen falls der User nicht mehr Mitglied im Verein ist, usw.

 

[Benares]

Hallo Kurt,
vielen Dank für deine Mühen. Ich habe jetzt meine photousers-Gruppe nochmal weg geschmissen und genau gem. deiner Anleitung neu angelegt. Jetzt geht es. Ich frag mich nur wieso. Ich hab noch eine boxusers-Gruppe, die habe ich testweise identisch zu photousers nachbearbeitet, und mit der geht es immer noch nicht. Sollte es wirklich daran liegen, dass manche Aktion durch den "admin" durchgeführt werden müssen?

 

[Kurt-oe1kyw]

manche Aktion durch den "admin" durchgeführt werden müssen?

Ja ich habe den Verdacht das es dazu wirklich den User admin bedarf. Der ist eigentlich bei mir immer deaktiviert aber wenn ich im DSM Benutzer oder Gruppen anlege oder auch in SP einpflege dann habe ich mir angewöhnt dies mit dem admin zu tun.
Danach schalte ich ihn wieder ab/deaktiviere ich ihn.
Ich kann es auch nicht erklären aber es war ja schon damals in der alten Photostation so dass nur der User admin die Benutzerkontensteuerung sehen konnte und Umschalten konnte, alle anderen Admins oder User mit Adminrechten konnten diese Einstellung nicht sehen, nur der admin konnte es.
Ich vermute dass dies auch irgendwie im neuen SP noch vorhanden ist.

 

[plang.pl]

Wenn dem so ist, fände ich das aber nicht gut und absolut nicht mehr zeitgemäß.

 

[diedel]

Hallo!

Eine quereinsteigende Frage von einem dankbaren Mitlesenden:

Ab welcher Berechtigungsstufe haben SPuser die Möglichkeit per Suche nach Tags/Dateinamen im freigegebenen Bereich zu suchen?
Mit der Stufe "Herunterladen" kann mein Testuser* rein gar nix finden per Suchdialog…
Andere User mit Vollzugriff können Suchen und bekommen Ergebnisse.

Danke vorab für Hinweise!

*hat kein "home" Verzeichnis
*homes ist aktiviert

 

[tomNeugier]

Danke Kurt-oe1kyw für die ausführliche Beschreibung und den Hinweis auf die Nutzung des ursprünglichen "admin"-Kontos!

Ich habe das bei mir auch alles umgesetzt - allerdings mit einer schon lange bestehenden Gruppe, die ich vermutlich nicht mit dem "admin" Konto sondern vor längerer Zeit mit einem Konto mit Adminrechten eingerichtet hatte. Das funktioniert leider nicht; Mitglieder der Gruppe haben nur einen teilweisen Zugfriff, d.h., sie können unter Windows die Verzeichnisse und Dateien sehen, diese jedoch nicht öffnen. In SP sehen Sie nur die oberste Verzeichnisebene und können natürlich auch keine Dateien öffnen.
Auch ein zusätzlich testweise mit dem "admin"-Konto eingerichteter User hat als Gruppenmitglied keinen Zugriff auf den Freigegebenen Bereich in SP.

Sollte ich die Gruppe im DSM mit dem "admin"-Konto evtl. löschen und nochmals neu einrichten?

Sind durch das Löschen und Wiedereinrichten einer Gruppe mit gleichem Namen Probleme zu befürchten? Zu der Gruppe gehören einige Mitglieder, die am Montag wieder auf ihre Daten zugreifen und produktiv sein wollen?

tom

 

[Kurt-oe1kyw]

Sollte ich die Gruppe im DSM mit dem "admin"-Konto evtl. löschen und nochmals neu einrichten?

Ich würde zuerst die Gruppe aus der berechtigten Liste von SP entfernen, Gruppenzeileneintrag markieren und rechts auf das X.
Die Gruppe wird dann in SP aus der Liste der Berechtigten entfernt.
Danach mit "admin" Konto im DSM die Gruppe ebenfalls Löschen und dann zur Sicherheit Synology herunterfahren und neu Starten.
Dann mit dem "admin" Konto die Gruppe neu anlegen und abermals die Synology danach herunterfahren und neu starten.
Wieder in SP einloggen als admin und die "neue" Gruppe (Name sollte gleich bleiben können) wieder in die Liste der Berechtigten in SP neu aufnehmen.

 

[tomNeugier]

Nochmals vielen Dank an Kurt-oe1kyw!
Das hat genau so funktioniert. Jetzt haben die Gruppenmitglieder planmäßige Rechte.

Diese unkonventionelle Nutzung des ursprünglichen "admin"-Kontos ist in meinen Augen aber kein feature ... sondern eher ein bug, oder? Da muss man erst mal drauf kommen.
Ist dieses Rechte-Phänomen des ursprünglichen "admin"-Kontos auch noch woanders als im Zusammenhang mit SP bekannt?
Sollte man das an Synology melden?

 

[Kurt-oe1kyw]

Für die Antwort muss man in der Geschichte der "Photopakete" von Synology etwas zurückgehen.

Früher in der alten Photostation unter DSM 6 gab es einen Menüpunkt den niemand AUSSER der "admin" sehen konnte. Nur der "admin", nicht User mit Adminrechten und ich glaube das Fragmente von dieser Funktion heute noch Auswirkungen auf SP haben oder Teile davon darin implementiert sind.
Genaueres müsste man aber Synology dazu befragen.

Jedenfalls war es früher in der alten PS so, das der "admin" (der der meistens deaktiviert ist im DSM) die Benutzerkontensteuerung Umschalten konnte in der alten PS.
Was genau war das?
Die alte PS hatte zwei getrennte Userverwaltungen:

*) 1 x die User im DSM (diese Variante verwendet ausschliesslich heute das neue SP)
*) 1 x User die nur direkt in der alten PS angelegt wurden, die sind im DSM gar nicht vorhanden gewesen (gibt es im neuen SP nicht mehr)

Mit obiger Funktion wolle man eine Möglichkeit schaffen das User welche ausschließlich nur die Photostation genutzt haben, oder benutzen durften, in eine eigene Benutzerverwaltungen gekommen sind, nämlich direkt in der Photostation, dort wurden die User angelegt, die Passwörter vergeben usw.
Diese User waren für DSM nicht vorhanden, die gab es dort nicht, folglich konnten diese User auch nichts auf der DS "anstellen".
Aber man konnte auch jene User verwenden die im DSM>Benutzer vorhanden waren und genau die Umschaltung nannte man Benutzerkontensteuerung in der alten PS die, wie erwähnt, nur der "admin" und sonst niemand sehen/verwenden konnte.

Das hat dann damals, wenn man als "admin" eingeloggt war in der alten Photostation so ausgesehen:

Das Auswahlfeld im roten Rahmen kann man in der alten PS nur als "admin" sehen, sonst sieht das keiner und auch nur der "admin" konnte auf die jeweiligen Benutzer "umschalten".

Aber wie erwähnt, in SP haben sie das abgeschafft, jetzt müssen ALLE User im DSM-Benutzerkonto sein und dort die Anwendung Synology Photos mit Haken versehen sein, damit diese User überhaupt SP nutzen können.
Wenn du einem User den Haken im DSM-Benutzer nicht setzt auf "Synology Photos", dann existiert für diesen User SP nicht als User, als "öffentlicher" Gast kann er jederzeit wie jeder andere Ordner und Alben ansehen deren Berechtigung auf "Öffentlich" geteilt sind.

Mein Verdacht ist jetzt das irgendwo noch Fragmente im DSM 7 und/oder vom neuen SP existieren für diese alte Kontensteuerung.
Ein möglicher und plausibler Grund wäre (so wie in meinem Fall) dass SP ja die alten PS-Userkonten auch berücksichtigen musste nämlich als ich von der alten PS auf das neue SP umgestiegen/migriert bin.
Meine Alben/Ordner usw wurden ja über Jahre von der alten PS erstellt und die wurden dann mit dem Umstieg von DSM6 auf DSM7 automatisch ins neue SP übernommen und da vermute ich eben die Fragmente der alten Programmierung damit die alten PS Konten nicht verloren gingen.

Anmerkung:
Wie am Bild oben zu sehen musste man früher separat die beiden Photostationen starten, also entweder in der "Haupt"-Photostation einloggen oder in der persönlichen Photo Station, dazu waren 2 Icon im Hauptmenü von DSM, 1 x das PS Icon und 1 x das PS Icon mit einem kleinen Kopf darin.
DAS wurde im neuen SP auch anders gelöst, man loggt sich jetzt 1 x in SP ein und schaltet dort dann darin um zwischen Freigegebener Bereich (=alte PS) oder Persönlicher Speicherplatz (=früher persönliche Photostation).

 

[tomNeugier]

Für die Antwort muss man in der Geschichte der "Photopakete" von Synology etwas zurückgehen.
[....]
Mein Verdacht ist jetzt das irgendwo noch Fragmente im DSM 7 und/oder vom neuen SP existieren für diese alte Kontensteuerung.

Danke für die historische Aufklärung!
bug und feature schließen sich offenbar nicht grundsätzlich gegenseitig aus.