Photo Station Berechtigung für /photo komplett entziehen

[Ghostmaster]

Hallo zusammen,

ich versuche gerade auf meiner neu aufgesetzten alten DS213+ (Photo Station 6) einem Benutzer alle Rechte für die Photo Station zu entziehen. Es geht hier um einen Backup User, der nur auf den Backup Folder Zugriff haben soll. Allerdings kann ich die Berechtigung Album durchsuchen nicht entziehen...weder auf Nutzer noch auf Gruppenebene.

Ich finde Anleitungen im Netz mit Screenshots, wo das geht...was mache ich falsch?

 

[Thonav]

Gib dem User kurz Berechtigung für DSM und Filestation, logg Dich ein und schau, was der User sehen kann.

Den in den Einstellungen sichtbaren Haken kann ich bei mir auch nicht entfernen.

 

[ottosykora]

also allgemein Rechte an dem ganzen /photo in DSM kannst du nicht verändern so lange Photo Station läuft.
Das ist auch gut so, sonst fummelt jeder an den Rechten bei Systemordnern.
Und wenn du trotzdem etwas sinnvolles durch was weniger sinnvolles ersetzen willst, dann musst du Photo Station zuerst abstellen und danach wieder starten.

 

[Ghostmaster]

Wieso ist es denn sinnvoll, dass jeder Nutzer vollen Zugriff auf diesen Systemfolder hat und man diesen nicht abstellen kann?
Der Nutzer soll ja gerade nicht in der Lage sein Photo Station zu nutzen oder auch nur zu sehen. In den Einzelberechtigungen ist Photo Station auch leider komplett rausgenommen und Photo Station selbst bietet auch nicht die Möglichkeit das abzustellen.

Da die Diskstation prinzipiell über Quickconnect erreicht werden kann, möchte ich prinzipiell möglichst wenig Nutzer exponieren.

Ich würde mich ja damit begnügen, dass ich Album durchsuchen in der PS selbst entziehen kann... laut dem Tutorial hier (https://www.synology.com/en-global/...e_photo_folder_after_installing_Photo_Station)
sollte das ja gehen, nur dass es bei mir eben disabled ist.

 

[Ghostmaster]

Ich habe das gerade mal getestet: Photo Station aus. Berechtigung genommen. Photo Station an. Berechtigung ist automatisch wieder da.

 

[Thonav]

Viel schlimmer finde ich es, dass es bei dem Nachfolger der Photostation überhaupt keine Rechteverwaltung des photo Ordners geben wird.

Hast Du Dich mal eingeloggt mit dem User? Er sollte trotz Haken nichts sehen können.

 

[Ghostmaster]

Es ist noch viel schlimmer...selbst das Gastkonto hat lesenden Zugriff auf den Folder...zumindest wenn ich über den Netzwerk Explorer im Windows reingehe. Verbindung mit DS Photo app habe ich noch nicht probiert.
Ich muss es quasi eine Ordnerebene weiter unten regeln...dann kann ich den Ordner auf private schalten.

 

[ottosykora]

Ich würde mich ja damit begnügen, dass ich Album durchsuchen in der PS selbst entziehen kann...

klar geht das, also innerhalb der PS kann man es sicher machen.
Welche Rechteverwaltung hast du, die von DSM oder die von PS?
PS Benutzer erscheinen gar nicht in den DSM Rechten.

Ich muss es quasi eine Ordnerebene weiter unten regeln...dann kann ich den Ordner auf private schalten.

so ist es ja auch vorgesehen
In DSM ist die Änderung der Rechte am /photo sogar ganz ausgeblendet, statt dessen kommt doch der Hinweis dies hat ***in der Photo Station*** zu erfolgen.

Begreife nicht warum man an den Berechtigungen zu System Ordnern was herumschrauben muss. Das ist eigentlich nie nötig.

 

[Ghostmaster]

Das würde ich auch nicht wollen, wenn ich die Photo Station auf bestimmte User einschränken könnte. Das geht aber gerade nicht. Und jeder User hat per Default Zugriff auf die root Ebene (/photo).

Wie gesagt, ich muss es nicht unbedingt im DSM ändern können, aber aktuell kann man es einfach gar nicht ändern. Das beste was ich hinbekommen habe ist auf der Root ebene einen Unterordner zu definieren und diesen auf private stellen.

Bei DSM kann ich für Nutzer normalerweise allerhand Berechtigungen einstellen und jede Applikation ein- oder ausschalten...nur die Photostation nicht und das geht auch nicht innerhalb der Photostation. Das ist doch leider sehr inkonsequent und schrottig gelöst.

Ich möchte auch keine persönlichen Alben, weil alle berechtigten User sollen gleichberechtigt auf die Fotos zugreifen können.

Wie gesagt ein Unterordner auf Root Ebene erfüllt mir das gewünschte, aber es ist letztlich nur ein Workaround für das eigenartige Verhalten von DSM/Photostation

 

[ottosykora]

Das würde ich auch nicht wollen, wenn ich die Photo Station auf bestimmte User einschränken könnte. Das geht aber gerade nicht. Und jeder User hat per Default Zugriff auf die root Ebene (/photo).

das ist so gewollt, weil wenn die PS Rechte verwalten soll, dann müssen alle zuerst mal in den /photo rein. Ohne würde es gar nicht funktionieren.

Das beste was ich hinbekommen habe ist auf der Root ebene einen Unterordner zu definieren und diesen auf private stellen.

das ist so vorgesehen, sonst wäre ja die PS unbruachbar

Bei DSM kann ich für Nutzer normalerweise allerhand Berechtigungen einstellen und jede Applikation ein- oder ausschalten...nur die Photostation nicht und das geht auch nicht innerhalb der Photostation. Das ist doch leider sehr inkonsequent und schrottig gelöst.

nein ist es nicht. Das braucht die PS unbedingt.
Vor Jahren war es noch nicht erlaubt, aber dennoch möglich an den Rechten des Systemordners /photo zu schrauben. Dann gab es Reklamationen weil die PS dann nicht richtig funktionierte. Danach hat Synology den simplen Zugang zu den Rechten versperrt.
Irgendwie muss man die Benutzer vor sich selber schützen.

Ich möchte auch keine persönlichen Alben, weil alle berechtigten User sollen gleichberechtigt auf die Fotos zugreifen können.

gerade beschwerst du dich dass alle alles lesen können und jetzt soll das wieder Ziel sein?
Aber geht, mach doch alle Alben öffentlich und gut ist

Wie gesagt ein Unterordner auf Root Ebene erfüllt mir das gewünschte, aber es ist letztlich nur ein Workaround für das eigenartige Verhalten von DSM/Photostation

Das ist kein Workaround, sondern das ermöglicht der PS überhaupt zu funktionieren. Rechte werden innerhalb des /photo von der PS gesetzt damit das Programm funktioniert. Das ist eigentlich die besondere Funktionalität der PS.

Wenn dies nicht verwendet werden soll, dann kann man Bilder auch ganz einfach in einem beliebigen Ordner abladen und dafür normal Rechte setzen.

Alternativ kann man auch Moments verwenden. Dies kann auch auf /photo zugreifen, allerdings ohne jegliche Rechteverwaltung, respektive es beachtet anderweitig gesetze Rechte nicht. In diesem Fall würde ich jedoch PS deinstallieren und nur den /photo einfach als 'gemeinsame Bibliothek' für Moments lassen.
Alle Benutzer können somit alle Bilder sehen und man muss sic nicht um Rechte kümmern und auch keine Alben in /photo bauen, weil Moments diese ja gar nicht interpretieren kann.

 

[ottosykora]

vielleicht noch ein Tipp:
an Rechten von Systemordnern, wie /homes , /home , /photo etc keine Manipulationen durchführen!

Damit bleibt dein System funktionsfähig

 

[Ghostmaster]

das ist so gewollt, weil wenn die PS Rechte verwalten soll, dann müssen alle zuerst mal in den /photo rein. Ohne würde es gar nicht funktionieren.



das ist so vorgesehen, sonst wäre ja die PS unbruachbar



nein ist es nicht. Das braucht die PS unbedingt.
Vor Jahren war es noch nicht erlaubt, aber dennoch möglich an den Rechten des Systemordners /photo zu schrauben. Dann gab es Reklamationen weil die PS dann nicht richtig funktionierte. Danach hat Synology den simplen Zugang zu den Rechten versperrt.
Irgendwie muss man die Benutzer vor sich selber schützen.


gerade beschwerst du dich dass alle alles lesen können und jetzt soll das wieder Ziel sein?
Aber geht, mach doch alle Alben öffentlich und gut ist



Das ist kein Workaround, sondern das ermöglicht der PS überhaupt zu funktionieren. Rechte werden innerhalb des /photo von der PS gesetzt damit das Programm funktioniert. Das ist eigentlich die besondere Funktionalität der PS.

Wenn dies nicht verwendet werden soll, dann kann man Bilder auch ganz einfach in einem beliebigen Ordner abladen und dafür normal Rechte setzen.

Alternativ kann man auch Moments verwenden. Dies kann auch auf /photo zugreifen, allerdings ohne jegliche Rechteverwaltung, respektive es beachtet anderweitig gesetze Rechte nicht. In diesem Fall würde ich jedoch PS deinstallieren und nur den /photo einfach als 'gemeinsame Bibliothek' für Moments lassen.
Alle Benutzer können somit alle Bilder sehen und man muss sic nicht um Rechte kümmern und auch keine Alben in /photo bauen, weil Moments diese ja gar nicht interpretieren kann.

Du ignorierst hier aber immer noch, dass ich innerhalb der DSM gar nichts verstellen möchte. Aber es sollen eben nicht ALLE Nutzer der DSM Photo Station nutzen (vor allem meine technischen User nicht). Optimalerweise sollten diese User auch keine Login über DS Photo uä. ermöglichen.

Die restlichen Nutzer sollen dafür den Zugang zu allen Fotos haben. Beides geht in der Rechteverwaltung von PS so nicht.

Jetzt habe ich unter /photo noch photo/foto erzeugt und gebe dann eben nur speziellen Nutzern Rechte für diesen. Warum das kein Workaround sein soll erschliesst sich mir nicht, denn wenn jemand jetzt versehentlich unter /photo ein Bild ablegt, ist das automatisch für alle Nutzer im Netzwerk sichtbar und wenn der Gastaccount aktiviert ist auch für diesen, ohne die Möglichkeit der Beschränkung.

 

[ottosykora]

nochmals ganz langsam:

/photo ist ein *****Systemordner***** dem die Rechte vom System zugewiesen werden

Genau so hast du nichts zu ändern an /homes oder /home und ähnlich und auch nicht an deren Korrektheit zu zweifeln

Da PS die Rechte intern selber verwaltet, muss es Zugang geben für alle Benutzer egal wie sie heissen, sonst kann die Rechteverwaltung nicht erfolgen.
PS kann nicht ausserhalb des /photo wirken, kann also irgendwelche Berechtigungen von aussen an dem Systemordner handeln. PS kann also nur innerhalb von /photo wirken und die Verwaltung der Rechte handhaben.
Das ist so vorgesehen und nötig damit Photo Station so funktionieren kann wie geplant.
Nur so ist es möglich, eine saubere interne Rechteverwaltung zu ermöglichen.

Es steht dir frei das Programm Photo Station zu nutzen oder nicht.
Wenn du es nutzen willst, dann musst du die Regeln befolgen welche vorgegeben sind.

Was du erwartest, ist Rechtemanipulation an Systemordner.
Dies ist nicht vorgesehen und wenn es jemand tut, darf nicht nach Hilfe rufen wenn sein System zusammenstürzt.


>Optimalerweise sollten diese User auch keine Login über DS Photo uä. ermöglichen.
<
das ist doch nur Einstellungssache innerhalb der PS ;-)

>Die restlichen Nutzer sollen dafür den Zugang zu allen Fotos haben. Beides geht in der Rechteverwaltung von PS so nicht.<
das stimmt nicht, wer nicht berechtigt ist, kann auch keine Bilder sehen. Wer berechtigt ist, sieht das zu was er darf. Das lässt sich ganz fein alles einstellen.


BTW: welches Kontosystem verwendest du in der PS?
Wenn jemand so viele Probleme dort sieht, dem wird dringend empfohlen in der PS statt der DSM Konten die *PS Konten* zu verwenden.

 

[Ghostmaster]

BTW: welches Kontosystem verwendest du in der PS?
Wenn jemand so viele Probleme dort sieht, dem wird dringend empfohlen in der PS statt der DSM Konten die *PS Konten* zu verwenden.

Ich verwende die DSM Konten und habe keine Möglichkeit bisher gefunden es auf eigene Konten umzustellen. Gibt es diesen Punkt denn? Das könnte mein Problem ebenfalls lösen...wäre allerdings auch nur ein Workaround, da dann immer noch die intuitive Option fehlt, einfach einen Nutzer in der PS Verwaltung zu sperren/deaktivieren.

Und wer behauptet denn, dass ich viele Probleme damit hätte? Ich habe hier ein konkretes Problem, für das es nur einen Workaround als Lösung gibt und das ich extrem unschön in der PS von Synology gelöst finde, bei der sonst alles sehr benutzerfreundlich und intuitiv ist.

Auch verstehe ich sehr wohl, was du mit Rechten von Systemordnern meinst und warum man diese nicht ändern sollte. Das heisst aber noch lange nicht, dass die aktuelle Lösung gut, sinnvoll oder benutzerfreundlich ist.

Auf der Synology Moments zu installieren, wäre vermutlich sogar eine gute Lösung für dieses NAS, allerdings geht das leider nicht, da Moments, sowie Syno Drive nicht unterstützt werden...

 

[ottosykora]

Abgesehen davon, dass PS auch mit den DSM Konten umgehen kann und man damit auch sehr fein Rechte verwalten kann, es kann User und auch Gruppen verstehen, kannst du auf PS Konten umstellen. Dazu musst du dich aber als admin, also der *echte* admin von DSM in die PS einloggen. Dann kannst du in den Einstellungen auf PS Konten umstellen. Für alle anderen Administratoren oder Benutzer ist diese Einstellung ausgeblendet.

In beiden Fällen musst du Rechte in der PS definieren, für jedes Album extra. Du musst den Benutzern erlauben ob sie nur schauen dürfen oder auch was ändern dürfen etc.

Die momentane Lösung ist sehr benutzerfreundlich, weil es den sicheren Betrieb der PS erlaubt.
Dein Vorschlag die Rechte von Systemordner selber zu definieren würde ja nicht nur die PS überflüssig machen.
Wie ich schon erklärt habe, ist PS eine in sich geschlossene Software. Diese managed alles innerhalb des /photo. Darum müssen sämtliche damit verbundenen Einstellungen durch die PS selber gemacht werden.
Nur so bleibt es benutzerfreundlich und die Rechte bleiben klar definiert.

Da /photo hier ausschliesslich ein Systemordner der Photo Station ist, führt der einzige Weg dorthin über die PS.
Die PS ist ein Tool um Bilder auf eine einfache Art ins Web zu stellen. Und zwar so, dass genau definiert werden kann wer was zu sehen bekommt oder bearbeiten oder downloaden darf. Dabei geht es nicht nur um einfache Ordner im herkömmlichen Sinn, sondern auch virtuelle Alben, die nur aus Links bestehen, oder Alben welche die PS nach einigen Kriterien selber erstellt.
Zusätzlich erstellt PS auch Vorschaubilder falls man es nicht mit dem Photo Station Uploader macht.

Wenn du alle Alben als öffentlich markierst, dann sind sie eben öffentlich. Das heisst jedermann kann sie betrachten.
Aber es gibt diverse Möglichkeiten dies einzustellen. Aber nur innerhalb der PS.
Du kannst es zwar privat machen, aber allen deinen Benutzern erlauben es zu besuchen. Aber vielleicht nicht bearbeiten.
Das alles geht nur innerhalb der PS, weil dies eine in sich geschlossene Webanwendung ist.

Einen Limit hat es. Die Berechtigungen kann man frei definieren nur 2 Ebenen tief. Danach wird nur noch vererbt.
Also auch hier siehst du dass es ein geschlossenes System ist.

Wie gesagt, du kannst auch einen beliebigen anderen Ordner nehmen und als Ablage für Bilder verwenden. Dann stört keine Software und du kannst die Rechte nach belieben editieren.