DSM 6.x und darunter Benutzer aus Gruppe users entfernen

[rusei]

Hallo Forum,

wie kann ich einen Benutzer aus der System default group users entfernen??
Der ist Mitglied einer anderen Gruppe.

 

[Puppetmaster]

Hallo!

Das geht gar nicht.
Jeder Benutzer ist standardmäßig Mitglied der Gruppe 'users'.

 

[Soschi]

Hallo,

stehe vor ähnlichem Problem. Kann es sein, dass die Benutzergruppe USERS höher bewertet wird, als die Gruppe ADMINISTRATORS ?
Standardmäßig möchte ich, dass neue User absolut keinen Zugriff auf Verzeichnis XY haben. Also stelle ich im Profil USERS XY auf KEIN ZUGRIFF.
Nun genört der User admin standardmäßig auch zu Benutzerkreis USERS und obwohl in der Benutzergruppe ADMINISTRATORS der Ordner XY freigegeben ist,
kan ich als admin nicht darauf zugreifen.
Oder mache ich irgendwo einen Denkfehler ?

Dank und Gruß Soschi...

 

[jan_gagel]

Hallo,

es gibt eben nur "User" auf einer DiskStation. Ein Administrator ist auch nur ein User mit "erweiterten Rechten". Von dieser Sichtweise her ist es logisch, daß die Gruppe "users" Vollzugriff auf alles benötigt.

Ein Verbot ist von höherer Priorität, als eine Erlaubnis. Wird also der Gruppe "users" der Zugriff auf ein Verzeichnis verboten, kann man es mit einer anderen Gruppe nicht mehr erlauben. Ähnlich einer Verkehrsinsel, befindet man sich auf einer vorfahrsberechtigten Straße, hat aber eine Ampel, verbietet das Rotlicht das Fahren, obwohl man auf einer vorfahrsberechtigten Straße ist.

Ich handhabe das so. Alle User sind automatisch in der Gruppe users. Die bekommt von mir überall Vollzugriff. Dann gibt es andere Gruppen, mit der ich den Zugriff einschränke. Ich übernehme quasi die Erlaubnis zum Schreiben aus der Gruppe "users" und verbiete den Zugang mit den anderen Gruppen.

Beispiel anhand einer Firma:

Es gibt insgesamt drei Freigaben und Gruppen:
Einkauf
Verkauf
public

Die Gruppe Einkauf hat ein Verbot für die Freigabe Verkauf.
Die Gruppe Verkauf hat ein Verbot für die Freigabe Einkauf.
Beide Gruppen übernehmen die Erlaubnis aus der Gruppe "users", auf public zuzugreifen.

Die Mitarbeiter vom Einkauf können also auf ihre Freigabe schreiben und lesen, ähnlich wie auf pubilc. Nur die Freigabe "Verkauf" bleibt ihnen verwehrt.

Wenn man erst mal weiß, daß ein Verbot höher bewertet wird, als eine Erlaubnis, dann ists eigentlich ganz leicht.

Ciao Jan

 

[Soschi]

Hallo Jan,

danke für Deine schnelle Antwort. Ich bin leichtsinniger Weise davon ausgegangen, dass die Gruppe ADMINISTATORS die höchste PRiorität hätte.
Dann werd ich jetzt mal wieder ein weniger Benutzerroulette spielen....

Dank und Gruß Soschi....

 

[itari]

die Verbote werden immer höher gewichtet als die Erlaubnisse ... ist eigentlich immer so. Die Gruppe Users ist so ein Notfallteil ... wenn man komplett alle von allem ausschließen will, dann zieht man hier die Bremse (und arbeitet auf der Linux-Konsole als 'root' weiter) ... kann ja immer mal vorkommen, dass man gehackt wird und dicht machen muss *gg*

Itari

 

[Soschi]

Klingt irgendwie logisch.
Danke für Eure Aufklärung

Gruß Soschi...

 

[bl3d2death]

bin auf das thema gestoßen und verstehe das ganze system nicht.

die USERS gruppe scheint ja für alle zu gelten. heißt: wenn ich dort den den zugriff auf ordner X verweigere, dann kann der admin auch nicht drauf zugreifen. soweit so klar.

aber wenn ich unter USERS festlege, dass lesen und schreiben erlaubt ist und in einer neuen gruppe NUTZER allen dortigen nutzern nur leserechte gewähre greift das verbot nicht. es bleibt dabei, dass alle schreibzugriff behalten.

wenn ich aber in USERS einen nur lesezugriff festlege und in der NUTZER gruppe den zugriff verweiger, dann ist der zugriff wirklich gesperrt. der admin (für den das "nur Lesen" ja ebenso wie das "kein Zugriff" gelten muss) hat dann aber plötzlich schreibrechte, die aber ja gerade die USERS gruppe untersagt

das ergibt doch iwie keinen sinn?!

 

[Puppetmaster]

Aus diesem Grund (users ist eine Systemgruppe) lässt du die Gruppe besser unangetastet.

 

[bl3d2death]

Hab bei users jetzt alle auf Lesezugriff gestelltnund die anderen rechte dann über admin und eine neue Nutzergruppe geregelt. So scheint es zu gehen

 

[Puppetmaster]

Irgendwann wirst du damit Probleme bekommen. Nochmal der Rat: lass die Gruppe einfach unangetastet.

 

[goetz]

Hallo,
am einfachsten ist es keinerlei Rechte für die Gruppe users zu konfigurieren, also weder zulassen noch verweigern, einfach keinerlei Haken setzen. Der Rest wird dann über die anderen Gruppen oder perönliche User-Rechte geregelt. Spätestens beim homes Ordner fangen sonst die Probleme an.

Gruß Götz

 

[bl3d2death]

Aber man kann sie ja nirgends zurücksetzen, oder?
Inwiefern kann es denn da Probleme geben?

Edit: also einfach bei users alle hacken rausnehmen und dort absolut nichts regeln?

 

[goetz]

Genau so.
Schau mal ob ein normaler User das Verzeichnis homes und die Unterordner sieht, dann ist es schon vergeigt.

Gruß Götz

 

[bl3d2death]

Habe keine userspezifischen home ordner angelegt.
Aber nun, wie du sagtest, sämtliche rechte bei user rausgenommen.
Auch bei den gemeinsamen ordnern habe ich nur die Gruppen admin und meine selbst erstellte Nutzergruppe zugeordnet (also bei user dort keine Haken).... Richtig so, ja?

 

[goetz]

Hallo,
ja das ist der beste Weg. Solltest Du den Benutzer-Home-Dienst (Systemsteuerung - Benutzer - Erweitert) einschalten und dann an den Rechten der Gruppe users rummachen geht das in die Hose.

Gruß Götz

 

[bl3d2death]

Danke dir für die Hilfe