Ausschliesslich Unterordner freigeben

[Faber3]

Bin noch relativ neu in der Synology-Welt. Bisher habe ich verstanden, dass gemeinsame Ordner im Synology NAS ausschliesslich in der obersten Ebene eröffnet werden können. Unterordner können nicht in gemeinsame Ordner umgewandelt werden.

Seit vielen Jahren habe ich eine bewährte, hierarchische Datei-Struktur, welche ich wenn immer möglich, beibehalten möchte. Vereinfacht dargestellt sieht diese Struktur wie folgt aus: Ein Haupt-Ordner „Obst“ und darunter drei Unterordner, nämlich “Aepfel“, “Birnen“ und “Pflaumen“.

Mit meinem Kollegen möchte ich ausschliesslich den Ordner “Birnen“ teilen. „Apfel“ und „Pflaumen“ gehen ihn nichts an. Deswegen möchte Ich ihm nicht die Berechtigung für den ganzen Hauptordner„Obst“ erteilen, sondern nur für den Unterordner “Birnen“. Habe dies versucht, doch noch keine Lösung gefunden.

Gibt es einen direkten Weg, um dies zu erreichen oder allenfalls einen work around?
Vielen Dank für Eure Hilfe

 

[dil88]

Du hast den Widerspruch ja genau herausgearbeitet. Würdest auf die Gruppierung Obst verzichten und drei gemeinsame Ordner anlegen, dann hättest Du kein Problem. Fängst Du mit irgendwelchen Filesystem-Rechtetricksereien oder symbolischen Links an, fängst Du Dir schnell Folgeprobleme ein.

 

[Faber3]

Vielen Dank, dil88, für Deine rasche Antwort
Du rätst mir, auf den Hauptordner „Obst“ zu verzichten und die drei Unterordner je als gemeinsame Ordner anzulegen. Klar, dies würde problemlos funktionieren. Doch dann müsste ich meine bewährte Dateistruktur aufgeben. Möchte ich nicht. Lieber würde ich auch die von Dir angesprochenen Folgeprobleme lösen. Als Optimist traue ich mir dies mit Eurer Hilfe zu.
Deinen Rat nehme ich gerne als gut gemeinte Warnung an einen Neuling entgegen. In diesem Sinne möchte ich auf meine Bitte zurückkommen und den Work Around wagen. Eigentlich kann ich nur gewinnen (abgesehen von Zeitverlust, falls ich scheitere).
Uebrigens habe ich DSM 5.0; entschuldigung, dass ich dies nicht schon früher bekanntgegeben habe.
Wer hilft mir weiter - vielen Dank

 

[luddi]

Das sollte mit den ACL´s funktionieren. Mit dieser Verwaltung ist es sogar möglich bis auf Dateiebene und Unterverzeichnisse die Rechte zu verwalten. Ich allerdings bin kein Freund davon (persönliche Meinung, da es schnell unübersichtlich werden kann).
Aber es sollte damit möglich sein.

Gruß
luddi

 

[Puppetmaster]

Bin auch kein Freund von ACL. Damit habe ich es z.B. auch noch nicht geschafft, dass man im übergeordneten Ordner die Dateien erst gar nicht sehen kann. Kein Zugriff genügt mir da nicht.

Irgendwo im Netz hatte ich allerdings mal eine Anleitung gesehen, wie man der DS seine eigenen Freigabeordner unterschieben kann. Muss ich mal nach suchen...

Manchmal ist das schon ganz praktisch und meine QNAP kann das z.B. auch von Hause aus.

 

[Faber3]

Danke für die rasche Antwort. Wenn Du im Netz die Anleitung findest, wie man der DS seine eigenen Freigabeordner unterschieben kann, wäre ich Dir für den entsprechenden Hinweis dankbar.

 

[Puppetmaster]

So, hier steht was ich meinte.

Ist allerdings noch aus Zeiten von DSM 4.1! Ob das auch mit DSM 4.3 oder gar 5.0 funktioniert weiß ich nicht.

 

[JudgeDredd]

Das dürfte so eigentlich funktionieren, allerdings hat es den Haken, dass, sobald eine Änderung an den Freigaben im DSM gemacht wird, die smb.conf komplett überschrieben wird.
Nur als kleiner Hinweis, damit Du nicht gemachte Arbeit wieder zerstörst.

 

[synmesh]

Hallo

Sollte über die normalen Synology ACLs (Datei/Verzeichnis > Eigenschaften > Tab: Berechtigungen) problemlos machbar sein. Soeben getestet:

[Obst](ALLOW: user_pflaumen, user_birnen)
`-[Pflaumen](ALLOW: user_pflaumen, user_birnen)(DENY: user_birnen)
`-[Birnen](ALLOW: user_pflaumen, user_birnen)(DENY: user_pflaumen)

Die beiden Benutzer "user_pflaumen" und "user_birnen" kommen auf das Verzeichnis "Obst" und sehen auch die Unterverzeichnisse "Pflaumen" bzw. "Birnen". Allerdings kann "user_birnen" nicht in das Verzeichnis "Pflaumen" wechseln: "Access Denied". DENY hat Vorrang vor ALLOW.

Die Ordner vor dem jeweils anderen "unsichtbar" zu machen wird hingegen nicht funktionieren. Probier's erstmal so aus...

Grüße, synmesh

 

[ottosykora]

ja das ist aber die klassische Rechte Verwaltung von Unix. Also zuerst alles erlauben und dann nach und nach wegnehmen. Das war schon immer so.

Aber der OP will wohl genau das nicht. Mit ACL würde es wohl hinbekommen, aber mir ist es auch zu Fehleranfällig, darum bleibe ich wenn möglich bei den Unix Rechten.

 

[derniwi]

Hallo,

aus eigener Erfahrung im Bereich der Rechteverwaltung würde ich ebenfalls raten, auf "Obst" zu verzichten und Freigaben für die Unterordner anzulegen.

Nicht nur, dass es übersichtlicher ist (wer auf "Apfel" Zugriff hat, hat Zugriff auf alle Verzeichnisse und Dateien darunter), man erspart sich auch manche Probleme (zwar eher in der echten Windows-Welt), wenn die Anwendungen nur eingeschränkt sinnvoll mit Berechtigungen umgehen können.

Ein Beispiel: man vergibt einem Benutzer auf ein Word-Dokument zusätzlich Schreibrechte, obwohl alle anderen aus der Gruppe nur Leserechte haben. Word erstellt beim Speichern aber eine neue Datei und löscht die alte, wenn die neue erfolgreich geschrieben wurde. Hat der Benutzer jetzt keine Schreibrechte im Verzeichnis, dann kann er die Datei auch nicht neu speichern... da ord vor dem Speichern die alte Datei umbenennt (war auf jeden Fall bis Word 2003 so, bei den neueren Versionen habe ich das schon gar nicht mehr untersucht), dann hast du plötzlich eine kryptische Datei (temporärer Dateiname), aber das "Original" ist weg.

Weiterhin kann es beim Verschieben von Dateien Probleme geben (unter Windows-Systemen, ob Samba da auch betroffen ist, müsste man prüfen), wenn eine Datei aus einer Freigabe in eine andere Freigabe verschoben wird.

Also, mein Tipp: "Schuster, bleib bei deinen Leisten."

Gruß
Nils

 

[Faber3]

Ja, da war ich wohl etwas zu optimistisch. Von Unix verstehe ich rein gar nichts. Habe begonnen, mich in ADS einzulesen. Doch für mich auch zu aufwändig. Also muss ich das kleinere Uebel wählen und meine bewährte Dateistruktur aufgeben. Erst recht ärgerlich, wenn daran denke, dass meine vielen internen Verknüpfungen teilweise „ins Leere“ führen werden. Es juckt mich wenn ich von Puppetmaster lese, dass QNAP dies von Hause aus könne. Verbleibt die Hoffnung, dass Synology dies im nächsten Release auch implementieren wird, statt auf das komplizierte ACL zu verweisen.
Vielen Dank an Euch alle für Eure Hilfe und Bemühungen

 

[Puppetmaster]

Es juckt mich wenn ich von Puppetmaster lese, dass QNAP dies von Hause aus könne.

Bevor du dich zu Spontankäufen verleiten läßt: mache dich nochmal schlau, ob das bei QNAP nocht Stand der Dinge ist. Die Firmware, bei der ich das nutze ist bereits ein paar Jahre alt!

Verbleibt die Hoffnung, dass Synology dies im nächsten Release auch implementieren wird, statt auf das komplizierte ACL zu verweisen.

Die Hoffnung stirbt bekanntlich zuletzt. Ich habe da weniger Hoffnung, dass Synology noch auf dieses - sinnvolle - Gleis wechseln wird. Der Wunsch danach kam hier auch schon vor Jahren hoch...

 

[ottosykora]

Verbleibt die Hoffnung, dass Synology dies im nächsten Release auch implementieren wird, statt auf das komplizierte ACL zu verweisen.

Nun, Synology hat gerade mit der Version 5 der DSM die ACL obligatorisch für alle gemeinsamen Ordner gemacht.
Vorher konnte man wählen: klassich Unix, oder ACL.
Die meisten User sind von dem ACL begeistert und Synology hat mit auf Anfrage mitgeteilt dass sie das ACL obligatorisch eingeführt haben weil es Kundenwunsch war und wollen nicht zum vorherigen System zurück.

Man kann jedoch immer noch die ACL einfach nicht berühren, dann hat man immer noch die einfache, für alle Unix und Linux User gewohnte Rechte nach dem Prinzip zuerst ist alles erlaubt, dann wird nach und nach gestrichen.

Aber man kann durchaus mit den ACL alles im Detail konfigurieren. Man kann es unter Windows tun (windows explorere) oder auch in der DS.
An beiden Orten kann man die Rechte ziemlich fein verteilen, die Vererbten Rechte kann man invertieren oder explizit machen, und dann Ordnern und sogar Dateien Rechte aufdrücken. Man kann auch das durchsuchen von Ordnern untersagen etc.

Man muss nur beachten: der Ordner auf dem Root des Volumes ist zuerst mal als gemeinsamer Ordner konfiguriert. Darunter kann man dann 'normale' Ordner anlegen und alles einstellen was man will.

Es ist nur eine persönliche Präferenz von Leuten wie mir dass ich nur die Unix Rechte verwende. Das ist so weil ich es so gewohnt bin und will nicht zu viel nachdenken müssen.

Unix Rechte erlauben nicht ein Erweitern der Privilegien, nur deren Wegnahme.
Mit ACL kann man jedoch eigentlich beides.

Wenn du die Ordner auf einem Windows System mit ACL ausgerüstet hast, dann sollte es eigentlich möglich sein dies auf die DS zu transportieren, aber da es selber nicht nutze, habe ich es nicht probiert.

Und wenn QNAP nur Unterordner berechtigen kann mit einem Mausklick und nicht den Hauptordner, dann machen die es auch mit ACL sicher, womit sonst? man kann so was nicht neu erfinden denke ich sonst wird es nicht mit den Betriebssystemen auf den PC kompatibel.
Die Rechte müssen nicht nur auf der DS im Webzugriff vorhanden sein, sondern müssen auch bei einem Zugriff via zum Bsp Windows Explorer (oder Mac oder Linux Filebrowser) erhalten bleiben.
Damit bleibt ausser ACL kaum noch was übrig.


Also wenn man ausgefallene Rechteverteilung will, dann muss man es eben mit ACL machen, oder eben seine Ablage dem Unix anpassen. Beides geht.

 

[Puppetmaster]

Und wenn QNAP nur Unterordner berechtigen kann mit einem Mausklick und nicht den Hauptordner, dann machen die es auch mit ACL sicher, womit sonst?

Nein, das funktioniert dort nicht über ACL, sondern wie oben auch schon erwähnt wird einfach ein beliebiger Ordner zum Share gemacht. Wenn du den einhängst als Netzlaufwerk, dann kommst du einfach nicht mehr höher in der Ebene. Das ist eigentlich narrensicher.

Wie gesagt, das kannst du ja auch auf den DSen machen, ist halt nur Handarbeit und beim nächsten Update Geschichte.
Von Seiten Synologys wäre es ein leichtes, das noch als zusätzliche Option anzubieten. Das existiert ja auch gänzlich unabhängig von ACL.

 

[ottosykora]

Nur nach welchem Mechanismus funktioniert es wenn es auch von den Betreibssystemen akzeptiert werden soll?
Die kennen doch nichts anderes.
Ja, sicher kann man etwas selbständiges machen, in der Photo Station gibt es auch Lösungen die nichts mit Betriebssystemen zu tun haben, nur wenn es dann auf der NAS ist und nicht von einem externen Betriebssystem genau so angenommen wird dann ist es auch etwas problematisch.

Und wenn es auch zum Bsp unter Windows dann funktioniert, dann kann es ja nichts anderes als ACL sein.

Ich meine die in sich geschlossenen Systeme sind sicher brauchbar, aber dann eben nur genau auf der Systemebene auf der sie gebaut sind.

 

[Puppetmaster]

Wie gesagt, bei QNAP ist das schon immer Teil des Betriebsystems gewesen.

Du hast eine Struktur /volume/Ebene1/Ebene2/Ebene3. Bei Synology ist immer /Ebene1 die Freigabe. Bei QNAP kannst du auch sagen mein Share ist /Ebene3. Dann kommst du z.B. von Windows über \\NAS\Ebene3 in deinen Ordner. Ebene2 und 1 wirst du nie sehen.

 

[ottosykora]

Ach so, jetzt ist klar.

Na ja dann ist aber ja Ebene3 dann das was Syno 'gemeinsame Ordner' nennt und von da abwärts geht alles wieder weiter.
Dann ist es klar, die von den Betriebssystemen (ich meine damit PC etc) werden dann die Ebene1 und Ebene2 gar nicht erkannt.

Aber dann ist nach meinem Verständnis unsere Ebene3 = Obst
Ebene4 und 5 sind dann die Apfel und Birnen und da muss man nun auch irgendwie wieder alles sortieren.

 

[Puppetmaster]

Nein, Ebene2 wäre Obst. Äpfel wäre Ebene3_1 und Birnen Ebene3_2.
D.h. du würdest 2Shares erstellen, die aber beide eigenentlich Unterordner von Ebene2 sind.

 

[ottosykora]

Ja klar, richtig.

Nur ist dann Obst für niemanden benutzbar, weil die ja gar nicht zugäglich ist. Oder genauer wer kann Obst wie bearbeiten?