Besitzer darf Rechte verändern ????

[thorschten]

Hallo Leute,

ich habe in mehreren Tests (DS716+) herausgefunden, dass der Ersteller von Ordnern (=Owner, Besitzer), welche sich unterhalb einer Freigabe befinden, die Möglichkeit hat die ACL via Windows zu verändern. Bspw. kann man dann die Domänen-Admins rauskicken.
Wie kann das möglich sein?

Wenn man den Owner nachträglich auf Person B ändert, dann darf diese Person B die Rechte anpassen. Die Genehmigungsprüfung innerhalb DSM bestätigt dies leider.
Das Ganze wurde mehrfach unter DSM 5.2 und 6.0 getestet, auch unter Verwendung von SMB2 und 3.

Das verbittet eigentlich den Einsatz im Unternehmen.
Hat jemand eine Info dazu? Ist das so by Design oder kann man das ändern?

VG,
thorschten

 

[jahlives]

Der Besitzer darf immer bestimmen wer was mit einer Datei tun darf. Das ist insofern also normal und lässt sich so ohne Weiteres nicht verhindern. Hier kämen Techniken wie Selinux oder Apparmor zum Einsatz. Diese können Restriktionen aufstellen und durchsetzen, die es sogar dem Eigentümer einer Datei/Verzeichnis verbieten bestimmte Dinge zu tun. Am besten ist aber wenn du verhinderst, dass der User zum Eigentümer wird. Also z. B. den Domainadmin immer zum Eigentümer machen

 

[thorschten]

Die Problematik die ich sehe ist, dass im Unternehmenseinsatz eine Freigabe administriert wird und die User dann darunter wie gewohnt Dateien und Unterodner anlegen wobei jeder jederzeit munter drauf los administrieren kann. Komischerweise geht das aber nur wenn man vorher Schreibrechte hatte. Aus den Schreibrechten werden dann in Kombination mit Owner Vollzugriffsrechte.
Wer einen Subfolder oder Datei erstellt ist ja automatisch Owner.

Und das ist wirklich kein Bug oder so? Für Privatanwender mag das ja ok sein. Aber im Unternehemenseinsatz geht das nicht. Wer kauft denn dann die fetten 19" Kisten? Oder finden die SMB-Freigaben da einfach keine Verwendung?
Ist jemand hier, der eine Synology geschäftlich einsetzt?