ACL im DSM?

[FrAntje]

Hallo zusammen,

Wäre jemand so lieb und erklärt mir kurz die ACL Implementierung vom DSM und wie diese funktionieren soll?
Also ich verstehe generell ACL aus der Windows Welt, aber ich verstehe nicht die Umsetzung im DSM.

Nehmen wir einen gemeinsamen Ordner, Bearbeiten -> Berechtigungen. Dort kann ich Kein Zugriff, Lesen/Schreiben oder Nur Lesen auswählen. Das ist für mich kein ACL. Nun ist auf der Seite noch Benutzerdefiniert.
Die Einstellungen dort sind für mich schon ACL ähnlich.
Wozu gibt es dann also den Reiter "Erweiterte Berechtigungen" und das Aktivieren von diesen?
aktiviere ich ACL habe ich dort nochmls Kein Zugriff, Lesen/Schreiben und Nur Lesen.
Irgendwie ändert sich dadurch aber nichts, ausser dass ich zweimal die gleichen Rechte vergeben kann.

Kann mich hier jemand aufklären?

 

[Kurt-oe1kyw]

Irgendwie bringst du da jetzt die konkreten Schritte und Berechtigungen durcheinander und springst in verschiedenen Rubriken die aber so nicht zusammengehören.
Ich versuch es mal.
DSM > Hauptmenü > Systemsteuerung > Gemeinsamer Ordner > Ordnername > Bearbeiten > Register "Berechtigungen" :
LINKS OBEN auswählen! zB LOKALE BENUTZER > Username auswählen:
"Haupt"-Einstellungen sind in den jeweiligen Spalten zu trefffen, dort steht dann zur Auswahl:
* Kein Zugriff
* Lesen/Schreiben
* Nur lesen
* Benutzerdefiniert

Haken auf Benutzerdefiniert setzen > neues Fenster Name vom zuvor ausgewählten User wird angezeigt und ich glaube diese "Fein-Einstellungen" suchst du.
HIER unter Genehmigungen kannst du jetzt auswählen:



Du könntest hier einstellen, dass der betreffende User zwar schreiben kann, aber NICHT LÖSCHEN darf. Dann musst du im Fenster wo jetzt derzeit "Zulassen" bei Typ: steht umschalten auf "Verweigern" und den Haken setzen auf "Löschen".
ABER zur Erinnerung, höhere Priorität hat Vorrang! Verweigern hat eine höhere Priorität als Erlauben!
Das bedeutet, du kannst zum Beispiel hier in den "Fein-Einstellungen" zwar Einstellen auf "Schreiben / Dateien erstellen" erlauben, ABER es wird nicht wirksam wenn du zB unter DSM > Hauptmenü > Systemsteuerung > Benutzer > Username, diesem User schon auf "Kein Zugriff" gesetzt hast! Siehe oben, höhere Priorität und eine Verweigerung definiert, daher hätte eine "Feineinstellung" keinen Sinn, sie wird nicht berückstigt!
Das war jetzt die Bearbeitung vom gemeinsamen Ordner im Register Berechtigungen und die Spalte "Benutzerdefiniert".

Dann gibt es noch DSM > Hauptmenü > Systemsteuerung > Gemeinsamer Ordner > Ordnername > Register "Erweiterte Berechtigungen" > HIER definierst du für den ausgewählten gemeinsamen Ordner die Erweiterten Einstellungen und die Erweiterten Freigabeberechtigungen, wobei die Erweiterten Freigabeberechtigungen zuerst aktiviert werden müssen und im zweiten Schritt dann auf die Schaltfläche "Erweiterte Freigabeberechtigungen" klicken und die Details eintragen.

 

[FrAntje]

Danke für die ausführliche Antwort.
Das Problem was ich nur habe, dass ich die Umsetzung im DSM nur nicht verstehe. Also die normale Benutzerdefinierte Freigabe ist detailliert einstellbar (wie man auch schön in deinem Screenshot oben sehen kann) und spiegelt auch die Rechte z.B. unter Windows wieder. Genauso kann ich über Windows diese Rechte anpassen. Für mich ist das dann bereits ACL.
Obwohl ich unter Erweiterte Berechtigung nichts aktiv habe.

Ich frage mich also wofür ist dieser Knopf zum Aktivieren der Erweiterten Rechte?
Im DSM steht dort:
Erweiterte Freigabeberechtigungen bieten eine zusätzliche Kontrollebene, um die Zugriffsberechtigungen für den
gemeinsamen Ordner zu verwalten und werden angewendet, wenn Benutzer mit den folgenden Dateidiensten auf den
gemeinsamen Ordner zugreifen: Windows Dateifreigabe, Apple Dateifreigabe, File Station, FTP und WebDAV. Nur Benutzer mit
erweiterten Freigabeberechtigungen und Windows ACL-Berechtigungen können auf die Dateien und Ordner im gemeinsamen
Ordner zugreifen.

Nun und das verstehe ich nicht, denn genau dies funktioniert auch, wenn ich NICHT Erweiterte Freigabeberechtigung aktiviert ist.
Also was kann ich weniger oder gar nicht, wenn es deaktiviert ist?

 

[Fusion]

Die erweiterten Freigabe-Berechtigungen (was ungleich ACL ist) habe ich nirgendwo aktiv, weil wie du sagt, mit den normalen Freigabe-Berechtigungen (Systemsteuerung > Gemeinsame Ordner) und ACL (File Station > Eigenschaften > Genehmigung) alles abgedeckt ist bei mir.
Mit den erweiterten Berechtigungen und den erweiterten Freigabe-Berechtigungen kannst du nun eine zweite Schicht an Berechtigungen noch darüber legen.
In welchem Fall das Sinn macht kann ich dir nicht sagen. Notwendigkeit hatte ich bisher jedenfalls keine dafür.

 

[FrAntje]

Ich benutze ja auch die "normalen" Berechtigungen, eben aus dem Grund weil es ACL ist. Ich verstehe nur nicht, wieso ich etwas extra aktivieren soll, was eh schon da ist.
Zudem bietet die Extra Berechtigung irgendwie gar nix.

 

[NSFH]

Vielleicht aus dem Grund, wie er in deinem Screenshot beschrieben ist.
Zwischen der Linux-Freigabe und Windows/AFP liegen ACL Welten. Damit das Zusammenspiel klappt aktiviert man diese optionale Funktion.
Ohne diese würde die Zugriffe der Win PCs und MACs mit ihren ACLs und Vererbungen nicht funktionieren
Wenn du ohne diese Option klar kommst dann lass sie aus, geht es dann doch nicht aktiviere sie aus dem beschriebenen Grund.
Irgendwie nicht schwer.

 

[Fusion]

@NSFH - ?. ACLs/Vererbungen funktionieren auch ohne die erweiterten Freigabeberechtigungen. Also wofür soll man sie aktivieren?

 

[blurrrr]

Freigabe- und Dateisystemberechtigungen sind schon 2 Paar Schuhe und "kumulativ". Was "erweiterte" ACLs angeht (nutze ich persönlich auch nicht), würde ich aber mal schätzen, dass es eben "erweiterte" ACEs bzgl. Dateien/Ordnern zur Verfügung stellt (Ordnerinhalte auflisten und so ein Zeugs, weisst schon...).

EDIT: Kurz gesucht und schon fündig geworden *klick*

 

[FrAntje]

Wie ich anfangs erwähnte, ACL ist in meinen Augen eh aktiv. Diese extra Option interessiert mich und was sie macht. Denn auch wenn sie deaktivert ist, habe ich die Möglichkeiten, die Synology beschreibt.

 

[Frank73]

Bei der Einrichtung meiner DS habe ich mir u. a. auch die Videos von "iDomix" angesehen und hier speziell eines mit der Erklärung der "Erweiterten Berechtigungen".

Für mich war es nachvollziehbar und logisch weswegen ich es auch so umgesetzt habe; ohne aber die andere Variante zu testen, ob dies auch ohne die "Erweiterten Berechtigungen" in einer solchen "Familien"-Konstellation funktioniert hätte.

Link zum Video: "https://youtu.be/fFbMwte-Rrs"

 

[NSFH]

Es gibt Freigaben für Ordner, wobei die vererbung immer aktiviert ist.
Im betrieblichen Umfeld kommt es dann immer zu der Situation, dass die Vererbung unterbrochen werden muss um geänderte Berechtigungen zu ermöglichen.
Der Heimanwwender wird dies vermutlich nie brauchen.

 

[Fusion]

Aber die Vererbung kann ich doch in den ACL ("Eigenschaften > Genehmigung" in der File Station oder "Berechtigungen > benutzerdefiniert" via Systemsteuerung) auch schon unterbrechen. Wozu also noch die Erweiterten Berechtigungen (Erweiterte Einstellungen und Erweiterte Freigabeberechtigungen)?

 

[FrAntje]

@Fusion
Genau, nur darum geht es! Ich kann alles mit den Rechten machen, ohne erweiterten DSM Rechte.
Alles was iDomix da macht ist zumindest aus meiner Sicht, an meiner Diskstation unnötig. Oder anders gesagt, ich kann alles machen ohne erweiterte echte zu aktivieren.

Wir fassen also zusammen: Wenn es nicht ein Fehler an meinen Diskstations ist, ist dieses Aktivieren der erweiterten Berechtigungen nur ein Knopf fürs Unterbewusstsein Eine Funktion hat er zumindest nicht.

 

[NSFH]

Ohne ACL kann man an einer Diskstation gar nichts machen!
Vielleicht sollten wir mal bei den richtigen Begrifflichkeiten bleiben. Die ACL greift schon mit der Freigabe eines Ordners.