ACL Verständnisfrage

[mado]

Hi,

habe hier eine DS213 mit DSM 4.1 und derzeit einen Windows 7 Client. Also auch keine Domäne oder Arbeitsgruppe. ACL dient ja zur Feinabstimmung der Berechtigungen, dies möchte ich jetzt auch tun. Gelesen habe ich bereits im Synology Wiki und über die Suchfunktion hier intern.

Also ich erstelle auf der DS als Administrator einen gemeinsammen Ordner "Test" und aktiviere Windows ACL für diesen Ordner. Nun binde ich ihn als Benutzer mit Administratorrechten als Netzlaufwerk ein. Jetzt gehe ich auf die Eigenschaften des Ordners -> Sicherheit -> Gruppen oder Benutzernamen, dort steht nur Everyone drin. Warum?

Bedeutet das ich muss jetzt erst einmal mich als Benutzer in die ACL hinzufügen? Und kann ich dann Everyone problemlos entfernen? Natürlich ebenfalls wichtig, nehmen dann die dort neu erstellten oder hinzugefügten Dateien diese Berechtigungen an oder muss ich das alles manuell machen? Der Zugriff auf dem Ordner soll später über eine Gruppe erfolgen.

 

[laszia]

Schau mal hier op das weiterhelfen kann:
http://forum.synology.com/wiki/index.php/How_to_use_Windows_ACL_with_the_Synology_DiskStation

 

[mado]

Naja nicht direkt, aber dank dir. Wie man einen Benutzer hinzufügt ist mir soweit klar. Bei mir ist z.B. unter Windows der Benutzer "Everyone" hinterlegt, seine Berechtigungen sind alle ausgegraut, Änderungen kann ich keine Vornehmen (Vererbung). Wenn ich das richtig verstehe kann dadurch doch jeder auf die Daten zugreifen, muss der nicht weg? Was ich mich in deiner verlinkten Anleitung auch Frage ist:

a) Warum müssen in der Windows ACL die Berechtigungen bearbeitet werden, wenn ich auf der DS Berechtigungen vergeben habe?
b) In dem Beispiel wird das an einer Datei gemacht, muss ich das dann an jeder Datei machen, nein oder?

Mir ist es sehr wichtig das ganze zu verstehen, also das Zusammenspiel zwischen der DS und Windows. Finde es bisher ziemlich verwirrend. Nein, sehr verwirrend.

 

[jan_gagel]

Wenn du das mit den ACL verwirrend findest, dann lasse den Quatsch doch sein. Ich persönlich halte von solchen ACL-Versuchen auf Netzwerk-Laufwerken sowieso nix, weil es viel zu umständlich und unübersichtlich ist. Erstelle einfach gemeinsame Ordner, Benutzer und Gruppen auf der DS und steuer deine Berechtigungen anhand der gemeinsamen Ordner und der Gruppen. Vorsicht ist angebracht, jeder Benutzer ist in der Gruppe "users". Verbote sind von höherer Priorität als Erlaubnisse. Man muß demzufolge "Verbotsgruppen" anlegen, wenn die Gruppe users auf alles Vollzugriff hat.

Wenn das Gerüst erst mal steht, kannst du den Quatsch mit den ACL nochmal angehen, wenn du möchtest.

Hintergedanke ist, daß die Linux-Rechte und die Windows-Rechte völlig anders aufgebaut sind. Der Samba-Server übersetzt quasi die Rechte entsprechend, weshalb es da hin und wieder zu Problemen kommt. ACL ist sowieso nur aufgepfropft und ich glaube auch in separaten Dateien abgespeichert. Richtige ACL-Berechtigungen machen meiner Meinung nach sowieso nur mit einem Windows-Domänen / ADS-Konstrukt Sinn.

Edit: Wow, mein tausendster Beitrag.

 

[Merthos]

a) Das ist doch der Sinn der Sache, dass Du die von Windows aus pflegen kannst.
b) Es gilt die ganz normale Vererbung.

Wenn Du es verstehen willst, dann einfach ausprobieren. So viele Varianten gibt es ja nicht.

 

[JudgeDredd]

Leider ist aber ACL die einzige Möglichkeit, einem/r Verzeichnis/Datei mehr als eine Gruppe zuzuordnen. Die Linux Variante Besitzer/Gruppe/Welt ist da nicht sehr zielführend.

 

[jan_gagel]

hm, wozu würde man sowas benötigen? Ein Benutzer kann doch Mitglied in mehreren Gruppen sein, dementsprechend die Rechte..

 

[JudgeDredd]

Ich habe z.B. ein/e Unterverzeichnis/Datei (ich meine kein Share), bei dem eine Gruppe Leserechte und eine andere Gruppe Schreibrechte bekommen soll.

 

[jan_gagel]

hm, ok. Das geht nur mit ACL. Aber wirkt sich das dann auch auf Nicht-Windows-Systeme aus? Ich hätte das mit einer Freigabe gemacht, auf die nur eine Gruppe Lese-Rechte und eine andere Gruppe Schreibrechte hat. Das mit den Berechtigungen innerhalb von Shares ist immer eine unübersichtliche Sache, da weiß man nie, ob und wie es tatsächlich funktioniert.

 

[JudgeDredd]

Aber wirkt sich das dann auch auf Nicht-Windows-Systeme aus?

Klar, man muss halt darauf achten, das man die DS-User einträgt und nicht die User des Clients
Das einzige was ich hier noch vermisse, ist ein DS-User der "Besitzer" heisst. Naja vielleicht kommt das ja mal irgendwann.

Ich hätte das mit einer Freigabe gemacht

Das hast Du auch völlig richtig gemacht, wenn es bei Dir so ausreicht. Wenn man allerdings z.B. ein Share Projekte hat in dem ca. 50 einzelne Projekte (Verzeichnisse) sind und eben nur die entsprechenden Projektmitarbeiter zugreifen dürfen, Wird es mit Shares doch schnell unübersichtlich. Besonders wenn die DS auch noch als Datenspeicher für Andere Dinge eingesetzt wird.

Berechtigungen innerhalb von Shares ist immer eine unübersichtliche Sache

Nunja, eine gute und aktuelle Dokumentation des Berechtigungskonzepts ist hier sehr hilfreich. Die muss natürlich auch dauernd gepflegt werden.

 

[mado]

Wenn das Gerüst erst mal steht, kannst du den Quatsch mit den ACL nochmal angehen, wenn du möchtest.

Dank dir für deine Meinung. Hat mir sehr geholfen. Hab jetzt erst einmal alles auf dem Standard belassen. Sollte ich die Rechtevergabe mal abstimmen müssen, werde ich mch noch einmal damit beschäftigen