Benutzer Zugriff plötzlich gesperrt über 2-Stufen Anmeldung

[pfanntomas]

Habe in meiner neu aufgesetzten DS224+ meinen eigenen Admin geändert, dahingehend, dass ich in der Systermsteuerung/Benutzer in den Berechtigungen mich bei allen Feldern auf Lese- und Schreibberechtigung gesetzt habe.
Prompt wurde ich aus der Oberfläche rausgeschmissen und sollte mich neu anmelden.
Das kann ich mit meinen Anmeldedaten auch nach wie vor, aber nach der Anmeldung kommt die zweite Stufe der Authentifizierung. Wenn ich dann das generierte Passwort (MS Authenticator) eingebe, kommt die angefügte Fehlermeldung. Ich drehe mich im Kreis...

 

[Benares]

Ich verstehe den 1. Satz nicht, was hast du genau gemacht? Dich nur zusätzlich berechtigt oder auch den admin entrechtet?
Zum Admin wird man, indem man einen Benutzer in die Gruppe "administrators" aufnimmt. Dann bekommt er seine Rechte über diese Gruppenmitgliedschaft.

 

[NSFH]

Über den kleinen Reset der Syno die Anmeldung zurück setzen.
Aber was für eine Schnapsidee zu versuchen den Admin Account zu kastrieren.
Und wenn man schon so einen Unsinn ausprobiert sollte man wenigstens einen zweiten Admin Account in Reserve haben.

 

[pfanntomas]

Ich verstehe den 1. Satz nicht, was hast du genau gemacht? Dich nur zusätzlich berechtigt oder auch den admin entrechtet?
Zum Admin wird man, indem man einen Benutzer in die Gruppe "administrators" aufnimmt. Dann bekommt er seine Rechte über diese Gruppenmitgliedschaft.

Bei den Berechtigungen für meinen Benutzer (auch Adminkonto) war mir aufgefallen, dass bei den Berechtigungen gar nichts angehakt war. Habe einfach ganz oben die Lese/Schreibberechtigung für alle angehakt und gespeichert. Das wars.

(Das angehängte Bild ist von unserer zweiten DS224+, auch hier ist - obwohl Administrator - nur ein Teil angehakt.)

Ich bin ursprünglich in die Benutzerkontensteuerung gegangen, da der Standardadmin inaktiv ist und ich bei diesem für alle Fälle alle Berechtigungen eintragen wollte, falls mal etwas schief läuft. Bei dem war auch vorgehakt, dass er sofort wieder aus Sicherheitsgründen deaktiviert wird.
Vielleicht war das bei meinem Benutzerkonto auch der Fall?!

 

[Kachelkaiser]

Zuerst trenne mal Admin und normalen Benutzer. Der normale Benutzer ist niemals Admin!

Dann erstelle ein Admin-Konte und stecke es in die Administrator Gruppe. Das wars mehr musst du in den Ordnerberechtigungen in der Regel nicht machen, wie @Benares bereits geschrieben hat.

Wiue du in deinem Screenshot so sehen kannst, hat der Admin bereits alle Berechtigungen über die Gruppe auch wenn die Haken fehlen. Eigene Benutzerberechtigungen musst du dann nicht mehr setzen.

 

[Benares]

Da ist normal gar nichts angehakt, da die Rechte, wie man ja sieht, bereits über eine Gruppenmitgliedschaft kommen.

 

[pfanntomas]

Über den kleinen Reset der Syno die Anmeldung zurück setzen.
Aber was für eine Schnapsidee zu versuchen den Admin Account zu kastrieren.
Und wenn man schon so einen Unsinn ausprobiert sollte man wenigstens einen zweiten Admin Account in Reserve haben.

Das hört sich leider ziemlich abfällig an.
Es gibt eben nicht nur Syno User, die Linux-, Konsolen- und sonstige Programmierkenntnisse haben. Es gibt auch die sicherlich nicht kleine Gruppe der reinen Anwender, die eine einfache Datensicherungslösung haben wollen. Ich gehöre zu dieser Gruppe, wenn ich Probleme habe, melde ich mich hier. Was bleibt mir anderes übrig.

Es handelt sich im Übrigen nicht um mein Standard Admin Konto sondern um meinen eigenen Zugang, der auch ein Adminkonto ist.

Habe SSH aktiviert, damit in einem Notfall hier auf die DS zugegriffen werden kann. Darum bin ich in den Standard Admin gegangen (inaktiv) und habe ihm erstens ein Passwort verpasst und zweitens dann geschaut, welche Berechtigungen er hat.
Da er keinerlei Berechtigungen hatte, habe ich dort ihm alles gestattet. Das hat auch problemlos funktioniert.

Danach bin ich in mein eigenes Nutzeradmin Konto gegangen und stellte bei den Berechtigungen fest, dass ich auch keinerlei Berechtigungen habe. Darum habe ich mir alle Berechtigungen gegeben und auf speichern gedrückt. Danach bin ich sofort rausgeflogen und habe seitdem das Problem

 

[Kachelkaiser]

Als beispiel hier mal mein Admin-Benutzer. Wie du siehst ist in den Benutzerberechtigungen nix angehakt, da alles über die Gruppe kommt.

 

[ottosykora]

@pfanntomas
meine kleiner Vorschlag:
weil du gerade erst am Einrichten bist und bis jetzt bereits diverses offenbar falsch gelaufen ist, wäre wohl jetzt angebracht alles Restore von vorna anfangen. Dann wirst du wohl ein eher sauberes System haben als jetzt versuchen all die Fehler zu korrigieren.



vielleicht hilft es auch zuerst etwas die Anleitungen überfliegen:
https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/file_user_desc?version=7

 

[pfanntomas]

Ich verstehe den 1. Satz nicht, was hast du genau gemacht? Dich nur zusätzlich berechtigt oder auch den admin entrechtet?
Zum Admin wird man, indem man einen Benutzer in die Gruppe "administrators" aufnimmt. Dann bekommt er seine Rechte über diese Gruppenmitgliedschaft.

Ich habe zwei Admin Konten, das Standard Admin Konto, das deaktiviert ist. Und eben mein eigenes Konto, dass aktiv ist und auch ein Admin Konto ist. Das hatte ich bei dem Neuaufsetzen des Systems so gemacht.

Habe lediglich oben in den Berechtigungen bei meinem Konto oben den Haken bei der Lese- und Schreibberechtigung für alle gemacht.

 

[pfanntomas]

@pfanntomas
meine kleiner Vorschlag:
weil du gerade erst am Einrichten bist und bis jetzt bereits diverses offenbar falsch gelaufen ist, wäre wohl jetzt angebracht alles Restore von vorna anfangen. Dann wirst du wohl ein eher sauberes System haben als jetzt versuchen all die Fehler zu korrigieren.

Ich glaube nicht, das diverses falsch gelaufen ist, ich müsste nur mich wieder einloggen können um die Änderung rückgängig zu machen. Das System ist komplett frisch aufgesetzt und im Zweifelsfall müsste ich nur meine Kontoart von Admin auf Benutzer ändern

 

[Kachelkaiser]

Lass doch das Konto so wie es nach dem Anlegen ist und erstelle dir zusätzlich einen persönlichen User, mit dem du arbeitest. So ist es am sichersten und saubersten! Weil: Der normale Benutzer ist niemals Admin!

 

[Kachelkaiser]

ich müsste nur mich wieder einloggen können

wie bereits gesagt: google nach "kleiner Reset synology"

 

[Benares]

Und jetzt kommst du gar nicht mehr rein? Wenn nein, mach den kleinen Reset (Modus 1). Ganz unten steht, was der alles zurücksetzt.

 

[pfanntomas]

Mir war nicht klar, dass ich schon über die Gruppe alle Berechtigungen hatte. Das Problem entstand, weil ich mir als Benutzer auch noch sämtliche Rechte gegeben habe obwohl schon die Gruppenberechtigung da war.
Es scheitert ja jetzt offensichtlich an der 2-Stufen Authentifizierung..

 

[Benares]

 

[ottosykora]

die 2FA hast du ja irgendwo auch eingeschaltet

darum sage ich dass diverses wohl nicht gut gelaufen ist bis jetzt.

mach Pause und lese dich etwas ein
https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/file_user_desc?version=7

 

[pfanntomas]

Danke euch für die Tipps, werde es erstmal mit dem kleinen Reset machen. Dann lege ich mir ein neues Konto ohne Adminrechte an und aktiviere da wieder die 2-Faktor Authentifizierung.

Das wollte ich nur umgehen, da ich nicht vor der DS sitze und erst heute Abend körperlich davor bin um Knöpfe zu drücken....

Noch eine Verständnisfrage:
Das Adminkonto hat standardmäßig nach der Neueinrichtung kein Passwort? Dann muss ich da doch als erste Aktion wohl ein sicheres PW vergeben, SSH aktivieren und den Admin deaktivieren. Dann müsste es sicherheitstechnisch richtig sein. Aber was nützt mir dann SSH im Notfall, wenn der Admin deaktiviert ist?

 

[ottosykora]

du brauchst den original admin nicht für den SSH

Original Admin hat nach Reset kein pass, das muss man dann eben setzen. Darum geht es ja hier eigentlich: jemand hat sich ausgesperrt und wahrscheinlich sein pass vergessen, dann ist es eine Möglichkeit wie man pass löschen kann und neu vergeben.

 

[Kachelkaiser]

Hmm das hast du nicht ganz richtig verstanden. Ich versuchs mal so:

Admin Konto deaktivieren: Aus Sicherheitsgründen, weil es das Standardkonto ohne Passwort ist und die Welt draußen kennt das Konto und versucht in der Regel zuerst einen Angriff über dieses Konto zu fahren.
Danach neues Admin-Konto anlegen mit Passwort und 2FA und deine DS einrichten. Sonste keine weitere Änderungen vornhmen vor allem nicht an den Berechtigungen.
SSH kannst aktiviert lassen für den Notfall solange SSH nicht von außen erreichbar ist.
Jetzt dann noch einen normalen Benutzer einrichten, gerne auch mit 2FA, mit dem du die normale Arbeit machst. Für den kannst du dann die Rechte beliebig steuern.