admin Passwort schützen gegen andere Administratoren

tidata · 12. Jul 2013

Hat jemand hier eine Idee wie ich das admin Passwort vor Änderung durch andere User mit Administratoren Rechte schützen kann?
Das hat nichts mir den Ordnern zu tun.
Es sieht so aus als wäre der nicht löschbare User admin gar kein Superadmin.
Wenn es da keine Möglichkeit gibt müsste Synology rasch eine Verbesserung bringen, auf allen DS.

itari · 12. Jul 2013

sollte das Problem nicht durch zusätzliche User mit Rechten aus der Admin-Gruppe zu lösen sein?

Superadmin gibt es nicht ... und der User 'admin' ist auch nicht der Herrscher über alles ... das wäre der User 'root' auf der Linux-Kommandozeile

Itari

Puppetmaster · 12. Jul 2013

tidata schrieb:
Wenn es da keine Möglichkeit gibt müsste Synology rasch eine Verbesserung bringen, auf allen DS.

Aha, und wozu jetzt genau?

tidata · 13. Jul 2013

In grösseren Firmenumgebungen haben wir Techniker, welche die Einstellungen für die Benutzer verwalten, diese Techniker sollten einfach keine Möglichkeit haben mich als Obersten "admin" auszusperren.

raymond · 13. Jul 2013

tidata schrieb:
In grösseren Firmenumgebungen haben wir Techniker, welche die Einstellungen für die Benutzer verwalten, diese Techniker sollten einfach keine Möglichkeit haben mich als Obersten "admin" auszusperren.

Im verständlichem Englisch auf http://www.synology.com/support/beta_form.php?lang=deu posten. Auch den schreiben warum und in welchem Szenario das sinnvoll wäre.

Also willst du in der Art haben (?):

superadmin: so wie jetzt der admin: kann alles und darf alles
admin: darf fast alles, was der superadmin diesen freigeschaltet hat, auf jeden Fall nicht das superadmin Passwort ändern/deaktivieren; eventuell nur manche Einstellungen in der Systemsteuerung freigeschaltet?!
user: so wie jetzt

Alternative: man hängt die NAS in eine Domain oder verwaltet es über LDAP. Siehe Systemsteuerung > Verzeichnisdienst.

derlaie · 13. Jul 2013

Interessanterweise darf der Admin schon was mehr als ein angelegter Admin!
Das dürfte ich feststellen, als ich verzweifelt versucht habe mit dem eigenen Admin-Account (hatte den standardadmin aus Sicherheitsgründen deaktiviert) die Kontenverwaltung innerhalb der photostation von DS auf photostation umzustellen.
Das war nur mit dem standardadmin möglich.

Gruß
Stefan

joku · 13. Jul 2013

tidata schrieb:
In grösseren Firmenumgebungen haben wir Techniker, welche die Einstellungen für die Benutzer verwalten, diese Techniker sollten einfach keine Möglichkeit haben mich als Obersten "admin" auszusperren.

Da frage ich mich, wie Dich diese Techniker als "Oberster" admin aussperren können ?

Ap0phis · 13. Jul 2013

Wenn sie zur Gruppe "Administrators" gehören, dann könnten sie ganz einfach das Passwort des admin ändern oder gar den "admin" deaktivieren.

joku · 13. Jul 2013

Ap0phis schrieb:
Wenn sie zur Gruppe "Administrators" gehören, dann könnten sie ganz einfach das Passwort des admin ändern oder gar den "admin" deaktivieren.

Ok, wenn sie in der System default admin group sind, ja.
Aber neue Gruppen anlegen und Berechtigungen ...
zB.:
admin
technik
usw
das sollte doch funkionieren.

Gruß Jo

tidata · 13. Jul 2013

zu raymond:
Du hast das Problem erkannt, das ist ein dringendes Bedürfnis vom jeder etwas grösseren Struktur, z.B. Joomla, Windows Server, varius Webserver unter Linux, usw....
Synology sollte unbedingt diesen Schritt machen.

tidata · 13. Jul 2013

nochmals zu raymond,
ich habe den Feedback auf english abgesetzt, hoffendlich bringt es was, sonst muss ich wohl meinen Kontakt zu Taiwan wieder aktivieren, den hatte ich vor 1 jahr wegen einem grossen Projekt.
Ich habe jetzt fast 100 DS im Einsatz, da ist ein Superadmin langsam unbedingt erforderlich.
Zu den anderen Antworten:
es geht nicht um Gruppen und Ordner, oder Sondernutzungen, es geht um die generelle Administration des DS, egal welche Version.
Vielen Dank für Euer aller Feedback

raymond · 13. Jul 2013

Dann wäre es gut zu hören, was dabei rausgekommen ist. Sinnvoll bei mittelgroßen Netzwerken könnte ich mir dies auch vorstellen. Bei richtig großen Netzwerken wird es glaub ich eher Richtung AD/LDAP gehen, allein schon deswegen, weil man bei der dicksten NAS 4096 user nur anlegen kann: http://www.synology.com/products/co...ct_id_list=116,86,98,119,109#compare_show_top

Ich denke, dass so eine gravierende Änderung noch nicht in DSM 4.3 Einzug halten wird, aber eventuell in den darauffolgenden DSM Versionen.

tidata · 14. Jul 2013

Auch bei Gruppen greiften die Rechte nicht auf der Sytem-Ebene, alle Rechte greifen nur auf der Ordner-Ebene, oder bei Zusatzeibstellungen.
Als test habe ich den Admin mit Doppel-Autentifizierung (QR-Code) eingerichtet, keine Chance, jeder andere Administrator kann den Admin ändern und sogar die Doppel-Autentifizierung deaktivieren!

Das ist wirklich ein Schwachpunkt, der unbedingt zu verbessern ist. Natürlich sind nicht alle User mit dieser Konstellation konfrontiert, bei einem einfachen Home-NAS, oder kleiner Firma, spielt das keine Rolle.

tidata · 14. Jul 2013

zu raymond,
klar, die grossen Server weden meistens anders verwaltet, aber es kommt mehr und mehr die Separierung von der Windows-Server-Umgebung, die Linux Umgebungen müssen nur einfach mit der Entwicklung mithalten.

zu joku,
probiere es einfach mal aus!

joku · 14. Jul 2013

tidata schrieb:
zu joku,
probiere es einfach mal aus!

da ich der einzige admin bin, in meinem Netz, ist das kein Problem.
Aber ich weiß was Du meinst, ja das ist nicht gut.

Gruß Jo

Suche

admin Passwort schützen gegen andere Administratoren

tidata

Benutzer

itari

Benutzer

Puppetmaster

Benutzer

tidata

Benutzer

raymond

Benutzer

derlaie

Benutzer

joku

Benutzer

Ap0phis

Benutzer

joku

Benutzer

tidata

Benutzer

tidata

Benutzer

raymond

Benutzer

tidata

Benutzer

tidata

Benutzer

joku

Benutzer

Kaffeautomat