Berechtigungen per ACL gesetzt - dennoch uneingeschränkter Zugriff

Status
Für weitere Antworten geschlossen.

Posanity

Benutzer
Mitglied seit
03. Jul 2011
Beiträge
279
Punkte für Reaktionen
0
Punkte
22
Hi,

was ist SSH?

Ich habe festgestellt, dass wenn ich überall (Benutzer, Gruppen und Gemeinsamer Ordner) alles abhake und dann bei der Gruppe "USER" nur Leserechte gebe, dann können die einzelnen User auch nur lesen. Sie können nichts schreiben oder löschen. Setze ich sie auf Schreiben/Lesen können sie auch nur das. Wenn ich jetzt die Gruppe auf nur lesen setzen und einzelnen Benutzern aber auch lese/schreibe Rechte geben will, so wird dies nicht erkannt. Es bleibt auf nur lesen gesetzt.

Weiter ist es so, dass wenn ich der Gruppe Admin Rechte zum lesen und schreiben gebe, dann können auch die User lesen und schreiben, obwohl diese keine Admin-Rechte hat.

LG
Matthias


Nachtrag: Obwohl ich alles angehalten habe - also keine Indexierung, kein Time Backup - "rattert" meine DS wie blöde, sie arbeitet irgendwas. Ich kann aber nicht sagen was sie gerade macht.
 
Zuletzt bearbeitet:

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Also das mit den Berechtigungen ist ganz normal. Einschränkende Rechte haben immer vorrang vor weniger einschränkenden Rechten.

Wenn Du also entweder bei der Gruppe 'users' die Berechtigung auf 'nur lesen' setzt, kann kein Benutzer mehr etwas auf die DS schreiben, weil ja alle immer in der Gruppe 'users' sind.

Wenn Du die Berechtigungen auf Benutzerebene vergeben möchtest, darfst Du keine Häkchen in den Gruppenrechten setzen. Schon gar nicht in der Gruppe 'users', in der ja jeder automatisch drin ist.
Gruppenrechte machen nur dann Sinn, wenn Du wirklich gleichzeitige Regeln für alle Benutzer in dieser Gruppe defiinieren möchtest.

Man kann sich auch sehr schön die Vorschau der Berechtigungen ansehen, wenn man in der Benutzeransicht auf 'Bearbeiten' -> "Privilegieneinstellung" klickt. Wahrscheinlich wird Dir die Systematik dann auch schnell klar...
 

Posanity

Benutzer
Mitglied seit
03. Jul 2011
Beiträge
279
Punkte für Reaktionen
0
Punkte
22
Hi,

eigentlich ist das klar. Wie gesagt, wenn ich wirklich überall die Häkchen rausnehme und in den Benutzern die rechte einzeln vergebe, z. B. sage ich, das User1 nur lese Rechte hat, so kann dieser trotzdem Daten schreiben und auch löschen!!! Und das ist genau mein Problem.

LG
Matthias
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Was sagt denn die Vorschau der Rechte?
 

Struppix

Benutzer
Mitglied seit
10. Apr 2009
Beiträge
883
Punkte für Reaktionen
185
Punkte
63
Nachtrag:

Das setzen der Gruppen-Rechte funktioniert. Wenn ich Gruppe "users" auf "Kein Zugriff" setze, kann ich auch mit den einzelnen Rechnern nicht zugreifen. Ebenso "Lesen/Schreiben" und "Nur Lesen". Das ist aber auch alles. Wenn ich den Benutzern separate Rechte zuweisen will, werden diese ignoriert...

Suspekt das ganze.

LG
Matthias

Ich glaube, ich weiß wo der Fehler liegt. Ich habe mal das, was Du beschrieben hast nachgestellt, und komme zu dem Schluß, daß Du die Rechte nicht zurückgesetzt hast.

Folgendes hierzu:
Es reicht natürlich nicht, nur die Zugriffsrechte der Gemeinsamen Ordner im DSM einzustellen / zu ändern, da diese nicht automatisch auf die darunterliegenden Ordner und Dateien angewendet werden, wenn die Ordner und Dateien bereits erstellt / vorhanden sind.

Die Rechte müssen erst zurückgesetzt werden. Zuvor schalten wir die ACL Steuerung des Gemeinsamen Ordners aus.

Bild01.JPG

Hierzu gibt es mehrere Möglichkeiten, wie zB. die Filestation / DSM Browser, der Explorer oder auch per Konsole. Nun wir machen das mal anhand des DSM an einem Beispiel.

1) Zuerst öffnen wir den Dateibowser des DSM
2) Wir wechseln in den zu ändernder Ordner und markieren alle Ordner und Dateien.
3) Dann gehen wir über den Kontext oder Aktionen zu Eigenschaften.
4) Wir stellen admin als User und die Gruppe User ein und wählen 'Auf diesen Ordner, ... anwenden' aus.

Bild02.JPG

==> Man sieht nun folgendes. Sind in diesen Ordnern und Dateien welche mit unterschiedlichen Rechten, dann wird der Schalter "Dunkelblau" unterlegt.
==> Wir wählen diese ( vielleicht auch alle ) einmal ab und dann wieder an.

Bild03.JPG

5) Jetzt sollten die Schalter wieder alle "Hellblau" sein, und es könnte eine Meldung kommen, wie "Die ACL Rechte werden zurückgesetzt ...." ==> Bitte mit 'OK' bestätigen.
(Wollte es gerade nicht testen :p )
6) Wir bestäigen alles mit 'OK'

Nun kannst Du wie hier beschrieben die USER Rechte ( bitte probiere es erst einmal ohne Gruppen, für die weder Rechte erlaubt noch verweigert werden ).

Zu Deiner Frage nach diesem Beitrag. Es handelt sich immer um Gemeinsame Odner der DS. Nur habe ich "öffentlich" = für alle zugänglich und "privat" = nur für einen zugänglich ausdrücken wollen.

Struppix
 

Posanity

Benutzer
Mitglied seit
03. Jul 2011
Beiträge
279
Punkte für Reaktionen
0
Punkte
22
Da ich "mal wieder" alle Häkchen entfernt habe, sagt diese "kein Zugriff" und unter Gruppenprivilegien "-".

LG
Matthias
 

Posanity

Benutzer
Mitglied seit
03. Jul 2011
Beiträge
279
Punkte für Reaktionen
0
Punkte
22
Hi,

Problem: Ich habe mir DSM 4.0 beta draufgezogen. Hier gibt es den Dateibrowser nicht mehr. Und wenn ich über die File-Station gehe, dann sagt er mir, dass es zur Zeit kein gemeinsam gneutzer Ordner gibt. Klar, ich habe ja alles abgehakt. Ich muss halt mal die Gruppe Admin anhaken, und da alle Ordner und dann in die File-Station. Mal schauen was passiert.

LG
Matthias
 

Posanity

Benutzer
Mitglied seit
03. Jul 2011
Beiträge
279
Punkte für Reaktionen
0
Punkte
22
Ok,

das scheint auch über die File-Station in DSM 4.0 zu gehen. Es sind in der Tat diese "grauen" Hinterlegungen. Ich werde mal so vorgehen, wie du es empfohlen hast. Kann nur etwas dauern, bei dem Daten-Volumen.

Ich werden informieren. Vielen lieben Dank einstweilen!!!

LG
Matthias
 

pianoralf

Benutzer
Mitglied seit
13. Nov 2012
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Hallo,
ich habe leider an allen angeschlossenen Win7 PC leider die Registerkarte "Freigabe" oder "Sicherheit" für die Order/Dateien der DS 212J mit DSM 4.1 _2647.
Auf den Rechnern oder im Arbeitsgruppennetzwerk sind Registerkarte Freigabe bzw. Sicherheit vorhanden.
Win7 "Heimnetzwerk" habe ich wieder deaktivert und alle PC uns NAS sind in Netzwerkgruppe "Workgroup"
Unter "Netzwerk" wird die DS aufgelistet. Der dort angemeldete Uster ist in DS in Gruppe Administrator vorhanden.
Habe auch probiert unter Win7 den 100% Administrator anzulegen. Dort fragte das System vor dem Verbinden im Netzwerk nach User: Habe hier admin und das Passwort angegeben.
Dennoch leider keine Registerkarten mit denen ich den Zugriff beschränken kann.
Ich möchte über Webdav über das Internetzugreifen. Wenn ich das jetzt tue bin ich im root und komme überall rein. Das möchte ich verhindern.
Wer kann mir einen Tipp geben?
LG
Rafl
 

pianoralf

Benutzer
Mitglied seit
13. Nov 2012
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Sorry vertippt. Im ersten Satz oben fehlt ein "nicht" am Ende. (warum kann ich in diesem Forum einen Beitrag nach ein par Stunden nicht editieren?)
Zu Beginn dieses Threads sind Hardcopys zu sehen mit Dateieigenschaften, wo auch die Reiter "Freigabe" und "Sicherheit" vorhanden sind. Diese fehlen bei mir leider, wenn ich auf mein neues NAS zugreife. Das wäre normal, wenn ich nicht als Aministrator angemeldet wäre. Das bin ich aber. In der Filestation kann ich zwar Rechte setzen, aber nur für eine Gruppe.
So kann ich einen Ordner den Zugriff nur für den Besitzer einstellen, aber nicht für die "Gruppe" oder "Sonstige". Dann hat wie gewünscht nur der jeweilige User über externen WebDav Zugriff. Aber ist es vielleicht so dass unter DS 4.xx die Vergabe von Rechten auf Benutzerebene über diese Registerkarten nicht mehr geht?
Habe auch NFS Dienst aktiviert... das war es auch nicht.
 

Struppix

Benutzer
Mitglied seit
10. Apr 2009
Beiträge
883
Punkte für Reaktionen
185
Punkte
63
Hallo Ralf,

sorry, aber Deine Beiträge verwirren ein wenig.

Du Schreibst sinngemäß:
- auf allen WIN7 PC nicht vorhanden, dann aber ...
- auf den Rechnern vorhanden, dann im 2. Post ...
- diese fehlen bei mir leider.

also immer auf die Reiter bezogen.

Kannst Du bitte nochmals genau beschreiben, geht es gar nicht, bei welchen Rechnern geht es und bei welchen nicht.

Gruß
Struppix
 

pianoralf

Benutzer
Mitglied seit
13. Nov 2012
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Hallo Struppix,
vielen Dank für Deine Bereitschaft mir zu helfen. Ich habe vermutlich zu knapp beschrieben, daher versuche ich es noch einmal
- Ich möchte Rechte für Dateien und Ordner an meiner neuen DS212j auf Benutzerebene setzen
- Ich finde in diesem Thread am Anfang beschrieben, dass man sich über den Windows Dateiexplorer mit dem NAS als User mit Adminrechten verbindet, und dann so wie unter Windows die Rechte über Rechtsklick auf den Ornder/Datei, dann Auswahl von Eigenschaften und dann über die Registerkarten Freigabe und Sicherheit einstellen kann.
Bisher habe ich ein Windows Arbeitsgruppennetzwerk verwendet (bzw. auch Heimnetzwerk unter Win7), wo ich auf meinem PC Ordner für andere PC im Netzwerk freigegeben habe.
Dabei musste ich auf meinem Rechner ein Konto mit dem Namen und Passwort des anderen PC vorhalten, damit sich dieser mit meinem PC verbinden konnte.
Das hat auch alles geklappt. Jetzt versuchte ich das mit dem DS212 (Software 4.1)
Hier stelle ich jedoch fest, dass hier die Registerkarten "Freigabe" und "Sicherheit" für Dateien/Ornder auf dem NAS nicht verfügbar sind, auch wenn ich mich sogar als admin angemeldet habe.
Ich habe bereits mehrere Dinge erfolglos probiert. NAS ist in gleicher Arbeitsgruppe, Windows Dateidienst und NFS Protokoll ist aktiviert.
Ist diese Art der Rechtevergabe mit der Software DSM 4.xx noch möglich, und wenn ja was muss ich tun, um diese Konfigurationsmöglichkeit zu erhalten?

Ich bin nun erst einmal den auch in diesem Forum dokumentierten Weg über die Vergabe von Gruppenrechten über die "Filestation" unter der Administrationsoberfläche des Ds212j
- Systemsteuerung "Gruppe" Neue Gruppe angelegt "Familie"
- Systemsteuerung "Gruppe" Alle Häkchen in der Gruppe "users" Karte "Privilegieneinstellungen" gelöscht (Das war der entscheidende Tipp!)
- Filestation: homes/PC1 im RECHTEN Fenster angeklickt und dort auch "Eigenschaften" gefunden. Links im Baum fehlt dieser Eintrag bei Rechtsklick !)
- Dort im Feld Gruppe "Familie" eingetragen und dann in Registerkarte "Genehmigung" die Reihe für "Sonstige" (Gruppen) herausgenommen.
- Dann werden die Rechte mit OK für das Home dieses Users (hier "PC1") gesetzt.
- Dann Doppelklick auf den gerade bearbeiten Ordner (Home von PC1) gewechselt und dort 2 neue Ordner angelegt "Privat" "Öffentlich".
- Alle vorhandenen Datein entsprechend auf diese Ordner verteilt.
- In "Privat" die "Genehmigung" nur für "Besitzer" gesetzt (alle anderen Häkchen gelöscht)
- in "Öffentlich" die Genehmigung für Besitzer (=PC1) und Gruppe (=Familie) angehakt und die anderen (Sonstige Gruppen) raus.
Bei beiden Ordern das Häkchen "auf diesen Ornder..." gesetzt, um die Rechte auf die Ordner/Dateien zu übertragen die in den jeweiligen Ordnern sind, bevor der Ok Button gedrückt wurde. Das dauert dann eine ganze Weile aber dann sind die Rechte übertragen.

Nun hat ein User der über WebDav von außen kommt, zwar die Anzeige homes und sieht darin dass es ein home für PC1 gibt, aber beim Versucht dort hinein zu wechseln, wird er abgewiesen. Weist man diesem Benutzer die Gruppe "Familie" zu, dann kommt er hinein und sieht die Ordner "Privat" und "Öffentlich". Er kommt aber dann auch nur in "Öffentlich" hinein. Damit habe ich erreicht was ich wollte.

So komme ich schon mal klar, aber dennoch hätte ich gerne gewusst, ob das Ermitteln/Setzen/Ändern von Benutzerrechten nun mit Windows Funktionen unter DSM 4.x geht oder nicht.
VG
Ralf
 

Struppix

Benutzer
Mitglied seit
10. Apr 2009
Beiträge
883
Punkte für Reaktionen
185
Punkte
63
Hallo Ralf,

das ist jetzt wirklich ausführlich :D.

Das geht natürlich auch in den neuen Versionen, also auch in Deiner. Diese verwende ich übrigens auch.

Soweit so gut. Da Du in den alten Beiträgen etwas von den Win7 Rechnern geschrieben hattest, hast Du mich in die Irre geführt. Ich war der Annahme es ging schon einmal ....

Also um es kurz zu machen. Hast Du den die ACL Rechte aktiviert ? Diese findest Du unter Systemsteuerung | Gemeinsame Ordner | Bearbeiten | Windows ACL.

Ein paar Hinweise:
1) Falls Du es nicht nutzen kannst oder willst, Du es aber aktiviert hattest, solltest Du nach dem Deaktivieren die Rechte wieder "händisch" zurücksetzten.
2) ACL geht nur auf Windows.
3) Muß für jeden Gemeinsamen Ordner gesetzt werden und geht für bestimmte nicht, zb. Photo.

Gruß
Struppix
 

pianoralf

Benutzer
Mitglied seit
13. Nov 2012
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Hallo Struppix,
vielen Dank für den Hinweis. Da habe ich in der Tat nicht gesucht, da ich die Rechte für die Homeverzeichnisse anlegen wollte, die automatisch für jeden User erstellt werden.
Hier erhält man nicht das Häkchen um ACL einzuschalten sonden eins auf die Finger :mad:ACLnot4homes.png
Aber tatsächlich, wenn ich unter "Gemeinsamer Ordner" mit dem Button "Erstellen" einen neuen Ordner erstelle, dann kann ich die ACL Rechte setzen :eek: und ich erhalte über Windows die gesuchte Registerkarte "Sicherheit" :p Ich war unter Windows gewohnt auch eine Registerkarte "Freigabe" zu erhalten und hatte erst gedacht das gäbe es auch hier. Aber das ist für Webdav nicht nötig.
Gut zu wissen dass es auch "Photo" nicht über ACL geht. Ich habe ja nun verstanden das Verfahren über die Gruppenrechte und deren Administration über die DS GUI in der Filestation anwenden. Da geht es soweit ich bis jetzt gesehen habe ohne Einschränkungen.
LG
Ralf
 
Zuletzt bearbeitet:

Struppix

Benutzer
Mitglied seit
10. Apr 2009
Beiträge
883
Punkte für Reaktionen
185
Punkte
63
Hi Ralf,

das mit den Home-Verzeichnis ist mir neu, da ich diese nicht nutze. Letztlich aber irgendwie logisch ...

Gruß
Struppix
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat