Benutzer Zugriff plötzlich gesperrt über 2-Stufen Anmeldung

pfanntomas

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
121
Punkte für Reaktionen
11
Punkte
18
Habe in meiner neu aufgesetzten DS224+ meinen eigenen Admin geändert, dahingehend, dass ich in der Systermsteuerung/Benutzer in den Berechtigungen mich bei allen Feldern auf Lese- und Schreibberechtigung gesetzt habe.
Prompt wurde ich aus der Oberfläche rausgeschmissen und sollte mich neu anmelden.
Das kann ich mit meinen Anmeldedaten auch nach wie vor, aber nach der Anmeldung kommt die zweite Stufe der Authentifizierung. Wenn ich dann das generierte Passwort (MS Authenticator) eingebe, kommt die angefügte Fehlermeldung. Ich drehe mich im Kreis...
 

Anhänge

  • Authentifizierung.jpg
    Authentifizierung.jpg
    345,5 KB · Aufrufe: 13

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.780
Punkte für Reaktionen
3.743
Punkte
468
Ich verstehe den 1. Satz nicht, was hast du genau gemacht? Dich nur zusätzlich berechtigt oder auch den admin entrechtet?
Zum Admin wird man, indem man einen Benutzer in die Gruppe "administrators" aufnimmt. Dann bekommt er seine Rechte über diese Gruppenmitgliedschaft.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.095
Punkte für Reaktionen
570
Punkte
194
Über den kleinen Reset der Syno die Anmeldung zurück setzen.
Aber was für eine Schnapsidee zu versuchen den Admin Account zu kastrieren.
Und wenn man schon so einen Unsinn ausprobiert sollte man wenigstens einen zweiten Admin Account in Reserve haben.
 

pfanntomas

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
121
Punkte für Reaktionen
11
Punkte
18
Ich verstehe den 1. Satz nicht, was hast du genau gemacht? Dich nur zusätzlich berechtigt oder auch den admin entrechtet?
Zum Admin wird man, indem man einen Benutzer in die Gruppe "administrators" aufnimmt. Dann bekommt er seine Rechte über diese Gruppenmitgliedschaft.
Bei den Berechtigungen für meinen Benutzer (auch Adminkonto) war mir aufgefallen, dass bei den Berechtigungen gar nichts angehakt war. Habe einfach ganz oben die Lese/Schreibberechtigung für alle angehakt und gespeichert. Das wars.

(Das angehängte Bild ist von unserer zweiten DS224+, auch hier ist - obwohl Administrator - nur ein Teil angehakt.)

Ich bin ursprünglich in die Benutzerkontensteuerung gegangen, da der Standardadmin inaktiv ist und ich bei diesem für alle Fälle alle Berechtigungen eintragen wollte, falls mal etwas schief läuft. Bei dem war auch vorgehakt, dass er sofort wieder aus Sicherheitsgründen deaktiviert wird.
Vielleicht war das bei meinem Benutzerkonto auch der Fall?!
 

Anhänge

  • Berechtigungen.jpg
    Berechtigungen.jpg
    234,7 KB · Aufrufe: 8

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.947
Punkte für Reaktionen
778
Punkte
134
Zuerst trenne mal Admin und normalen Benutzer. Der normale Benutzer ist niemals Admin!

Dann erstelle ein Admin-Konte und stecke es in die Administrator Gruppe. Das wars mehr musst du in den Ordnerberechtigungen in der Regel nicht machen, wie @Benares bereits geschrieben hat.

Wiue du in deinem Screenshot so sehen kannst, hat der Admin bereits alle Berechtigungen über die Gruppe auch wenn die Haken fehlen. Eigene Benutzerberechtigungen musst du dann nicht mehr setzen.
 
  • Like
Reaktionen: Benares

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.780
Punkte für Reaktionen
3.743
Punkte
468
Da ist normal gar nichts angehakt, da die Rechte, wie man ja sieht, bereits über eine Gruppenmitgliedschaft kommen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Kachelkaiser

pfanntomas

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
121
Punkte für Reaktionen
11
Punkte
18
Über den kleinen Reset der Syno die Anmeldung zurück setzen.
Aber was für eine Schnapsidee zu versuchen den Admin Account zu kastrieren.
Und wenn man schon so einen Unsinn ausprobiert sollte man wenigstens einen zweiten Admin Account in Reserve haben.
Das hört sich leider ziemlich abfällig an.
Es gibt eben nicht nur Syno User, die Linux-, Konsolen- und sonstige Programmierkenntnisse haben. Es gibt auch die sicherlich nicht kleine Gruppe der reinen Anwender, die eine einfache Datensicherungslösung haben wollen. Ich gehöre zu dieser Gruppe, wenn ich Probleme habe, melde ich mich hier. Was bleibt mir anderes übrig.

Es handelt sich im Übrigen nicht um mein Standard Admin Konto sondern um meinen eigenen Zugang, der auch ein Adminkonto ist.

Habe SSH aktiviert, damit in einem Notfall hier auf die DS zugegriffen werden kann. Darum bin ich in den Standard Admin gegangen (inaktiv) und habe ihm erstens ein Passwort verpasst und zweitens dann geschaut, welche Berechtigungen er hat.
Da er keinerlei Berechtigungen hatte, habe ich dort ihm alles gestattet. Das hat auch problemlos funktioniert.

Danach bin ich in mein eigenes Nutzeradmin Konto gegangen und stellte bei den Berechtigungen fest, dass ich auch keinerlei Berechtigungen habe. Darum habe ich mir alle Berechtigungen gegeben und auf speichern gedrückt. Danach bin ich sofort rausgeflogen und habe seitdem das Problem
 

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.947
Punkte für Reaktionen
778
Punkte
134
Als beispiel hier mal mein Admin-Benutzer. Wie du siehst ist in den Benutzerberechtigungen nix angehakt, da alles über die Gruppe kommt.

1731583255653.png
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.861
Punkte für Reaktionen
1.150
Punkte
288
@pfanntomas
meine kleiner Vorschlag:
weil du gerade erst am Einrichten bist und bis jetzt bereits diverses offenbar falsch gelaufen ist, wäre wohl jetzt angebracht alles Restore von vorna anfangen. Dann wirst du wohl ein eher sauberes System haben als jetzt versuchen all die Fehler zu korrigieren.



vielleicht hilft es auch zuerst etwas die Anleitungen überfliegen:
https://kb.synology.com/de-de/DSM/help/DSM/AdminCenter/file_user_desc?version=7
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Kachelkaiser

pfanntomas

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
121
Punkte für Reaktionen
11
Punkte
18
Ich verstehe den 1. Satz nicht, was hast du genau gemacht? Dich nur zusätzlich berechtigt oder auch den admin entrechtet?
Zum Admin wird man, indem man einen Benutzer in die Gruppe "administrators" aufnimmt. Dann bekommt er seine Rechte über diese Gruppenmitgliedschaft.
Ich habe zwei Admin Konten, das Standard Admin Konto, das deaktiviert ist. Und eben mein eigenes Konto, dass aktiv ist und auch ein Admin Konto ist. Das hatte ich bei dem Neuaufsetzen des Systems so gemacht.

Habe lediglich oben in den Berechtigungen bei meinem Konto oben den Haken bei der Lese- und Schreibberechtigung für alle gemacht.
 

pfanntomas

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
121
Punkte für Reaktionen
11
Punkte
18
@pfanntomas
meine kleiner Vorschlag:
weil du gerade erst am Einrichten bist und bis jetzt bereits diverses offenbar falsch gelaufen ist, wäre wohl jetzt angebracht alles Restore von vorna anfangen. Dann wirst du wohl ein eher sauberes System haben als jetzt versuchen all die Fehler zu korrigieren.
Ich glaube nicht, das diverses falsch gelaufen ist, ich müsste nur mich wieder einloggen können um die Änderung rückgängig zu machen. Das System ist komplett frisch aufgesetzt und im Zweifelsfall müsste ich nur meine Kontoart von Admin auf Benutzer ändern
 

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.947
Punkte für Reaktionen
778
Punkte
134
Lass doch das Konto so wie es nach dem Anlegen ist und erstelle dir zusätzlich einen persönlichen User, mit dem du arbeitest. So ist es am sichersten und saubersten! Weil: Der normale Benutzer ist niemals Admin!
 
  • Like
Reaktionen: Ronny1978

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.947
Punkte für Reaktionen
778
Punkte
134

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.780
Punkte für Reaktionen
3.743
Punkte
468
Und jetzt kommst du gar nicht mehr rein? Wenn nein, mach den kleinen Reset (Modus 1). Ganz unten steht, was der alles zurücksetzt.
 

pfanntomas

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
121
Punkte für Reaktionen
11
Punkte
18
Mir war nicht klar, dass ich schon über die Gruppe alle Berechtigungen hatte. Das Problem entstand, weil ich mir als Benutzer auch noch sämtliche Rechte gegeben habe obwohl schon die Gruppenberechtigung da war.
Es scheitert ja jetzt offensichtlich an der 2-Stufen Authentifizierung..
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.780
Punkte für Reaktionen
3.743
Punkte
468
1731584044152.png
 

pfanntomas

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
121
Punkte für Reaktionen
11
Punkte
18
Danke euch für die Tipps, werde es erstmal mit dem kleinen Reset machen. Dann lege ich mir ein neues Konto ohne Adminrechte an und aktiviere da wieder die 2-Faktor Authentifizierung.

Das wollte ich nur umgehen, da ich nicht vor der DS sitze und erst heute Abend körperlich davor bin um Knöpfe zu drücken....

Noch eine Verständnisfrage:
Das Adminkonto hat standardmäßig nach der Neueinrichtung kein Passwort? Dann muss ich da doch als erste Aktion wohl ein sicheres PW vergeben, SSH aktivieren und den Admin deaktivieren. Dann müsste es sicherheitstechnisch richtig sein. Aber was nützt mir dann SSH im Notfall, wenn der Admin deaktiviert ist?
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.861
Punkte für Reaktionen
1.150
Punkte
288
du brauchst den original admin nicht für den SSH

Original Admin hat nach Reset kein pass, das muss man dann eben setzen. Darum geht es ja hier eigentlich: jemand hat sich ausgesperrt und wahrscheinlich sein pass vergessen, dann ist es eine Möglichkeit wie man pass löschen kann und neu vergeben.
 

Kachelkaiser

Benutzer
Sehr erfahren
Mitglied seit
22. Feb 2018
Beiträge
1.947
Punkte für Reaktionen
778
Punkte
134
Hmm das hast du nicht ganz richtig verstanden. Ich versuchs mal so:

Admin Konto deaktivieren: Aus Sicherheitsgründen, weil es das Standardkonto ohne Passwort ist und die Welt draußen kennt das Konto und versucht in der Regel zuerst einen Angriff über dieses Konto zu fahren.
Danach neues Admin-Konto anlegen mit Passwort und 2FA und deine DS einrichten. Sonste keine weitere Änderungen vornhmen vor allem nicht an den Berechtigungen.
SSH kannst aktiviert lassen für den Notfall solange SSH nicht von außen erreichbar ist.
Jetzt dann noch einen normalen Benutzer einrichten, gerne auch mit 2FA, mit dem du die normale Arbeit machst. Für den kannst du dann die Rechte beliebig steuern.
 
  • Like
Reaktionen: dil88


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat