Best Practice, um Dateien anzufordern und extern freizugeben?

[Busta2]

Ich würde gerne verschiedenen Personen den Zugriff auf verschiedene Ordner erlauben (am liebsten wären mir Projektordner, zum Beispiel Person A erhält Zugriff auf den Projektordner "Mallorcaurlaub" und sieht dann alle Dateien die dort liegen und kann auch dort selbst Dateien ablegen.
Was ist hierfür das sinnvollste Vorgehen? Mein eigener Ordner "Mallorcaurlaub" enthält Dateien, die ich nicht alle teilen möchte. Ist es jetzt am besten, wenn ich einen neuen Ordner "Mallorcaurlaub - extern" erstelle, dorthin die Dateien kopiere, die ich freigeben will (oder kann man die zwischen zwei Ordnern synchronisieren?) und dann über das File Station Kontextmenü den Ordner freigebe und einen Anforderungslink erstelle? Oder ist ein ganz anderer Weg besser, also gar nicht über die File Station?

Muss ich sonst etwas beachten, das ganze soll natürlich sicher sein und möglichst keine Angriffsmöglichkeit auf die restliche DS bieten.

Ich sehe in der File Station die beiden Optionen auch nur in einem Admin-Konto, nicht in einem Benutzerkonto, welches Zugriffsrechte auf den Ordner hat. Ich finde nicht die Option, um das zu ändern, hätte aber gerne, dass der Benutzer (allerdings nur für diesen, nicht alle Ordner, die er sehen kann!) freigaberechte erstellen kann. Edit: Ok, geht über die Eigenschaften des Ordners in der File Station. Noch was anderes: Früher konnte man doch in der File Station über das Ordner Kontextmenü -> Eigenschaften -> Berechtigungen auch für Subordner einstellen, wer dort was machen kann. Wie geht das jetzt? Wähle ich den Besitzer des Ordners aus und dann kann ich zum Beispiel nur diesem Schreibrechte geben? Da waren dann aber doch die Möglichkeiten früher größer?

 

[RichardB]

Richte für diese verschiedenen Personen User-Konten ein. Erstelle Benutzergruppen, damit die verschiedenen Personen dann auch auf verschiedene Ordner lesend/schreibend zugreifen können.
Das alles über Freigabe- und Dateianforderungslinks zu lösen, wird im Chaos enden.

 

[Busta2]

Also sprich du würdest das gar nicht über die Links lösen und stattdessen etwa 40 Benutzer dafür anlegen?
Wie erfolgt dann der externe Zugriff? Bisher habe ich den nur über VPN eingerichtet, das wäre dafür keine Option.

Würdet ihr heute eher zu DDNS oder QuickConnect raten? Ich habe DDNS zwar eingerichtet, aber wieder deaktiviert, QuickConnect habe ich schon vor langer Zeit deaktiviert.


Die Benutzer bräuchten jeweils nur auf einen Ordner Zugriff. Höchstens ausnahmsweise mal auf 2-3, aber dann wären das eben 2-3 Links?

Kann man für die Freigabe nicht auch verpflichtend Passwörter, am liebsten direkt von der DS mit den eingestellten mindestanforderungen erstellte, einstellen? Ansonsten dauert es zwei Tage und die ersten Freigaben ohne Passwortschutz kursieren ….

 

[RichardB]

Ja, vor allem, wenn das keine zeitlich stark begrenzte oder einmalige Aktion ist. 40 User anlegen dauert, zugegeben. Nur danach kann ich die in Usergroups hin- und herschieben, wie es eben gerade nötig ist (wenn überhaupt). Ich erspare mir dabei das dauernde anlegen/löschen von Ordern und das Aussenden von Mails an etwaig Berechtigte. Ich habe anfangs auch mit Freigabelinks gearbeitet (würde es aber nicht mehr tun).
VPN ist in dem Fall natürlich keine Option. Ob DDNS oder QC ist Geschmackssache. Ich tendiere da eher zu QC, weil es einfacher ist.
Ob User jetzt standardmäßig nur auf einen Ordner Zugriff haben (lesend, schreibend, beides - da beginnt es schon) und höchstens auf 2-3 ist für mich unerheblich. Bei 40 Usern würde ich ja dann permanent am Administrieren sein, wer jetzt gerade was darf/kann/können muss.

Und meines Wissens nach, kann man bei Freigaben/Dateianforderungen keine Passwörter setzen (auch einer der Gründe, warum ich das nicht mehr mache).

 

[Busta2]

Die User ändern sich, denn das sind semiprofessionelle Projekte, also eher kein Mallorcaurlaub Somit müsste man sowieso neue Benutzer erstellen und Emails verschicken.

Doch, man kann Passwörter setzen, aber wenn ich nichts übersehe, dann kann man als Admin das nicht als Pflicht vorgeben. Wenn jetzt ein DS User sich etwas blöd anstellt, dann erstellt er keine Passwörter.

 

[RichardB]

Kommt darauf an, wie viele User sich ändern (ausscheiden oder dazukommen)
Was Passwörter bei Links anbelangt, muss ich passen. Damit habe ich mich nie beschäftigt (das Wesen eines Freigabe-/Dateianforderungslinks liegt imho ja darin, dass es ohne PW funktioniert).

 

[Busta2]

Du kannst beim Erstellen des Links (in der File Station) das Passwort vergeben. Aber eben - so wie ich das sehe - nur optional, also sicherheitstechnisch nicht gut.

 

[RichardB]

Danke für die Info. Da es aber optional ist bleibe ich doch lieber bei User-Konten. Auch bei uns ändern sich User. Der Verwaltungsaufwand ist aber geringer, als das permanente Erstellen von Links. jm2c

 

[Busta2]

Wie lösen das denn größere Firmen? So ein Austauschordner ist doch eigentlich mittlerweile gang und gäbe?

 

[Ulfhednir]

Größere Firmen nutzen Kollaborationsplattformen wie MS Teams.

 

[Busta2]

Gibt es sowas als Synology Lösung? Ich bekomme aber schon ab und zu links, die ähnlich wie die von Synology aussehen

 

[Philipp-22]

Ich mische mich Mal in das Gespräch mit ein, weil ich nicht gleich einen neuen Thread aufmachen will. Grundsätzlich möchte ich fast das Gleiche.

Ich suche auch nach der Best-Practice zur Dateifreigabe, allerdings innerhalb eines Vereins. Hier hat man ja die DSGVO am Hals, außerdem möchte ich wirklich nicht, das diese Daten durch meinen Pfusch schlecht gesichert sind... Also ich möchte einen Freigabe-Ordner für drei Personen einrichten. Darin lade ich von Zeit zu Zeit Dateien hoch.

Also habe ich folgendes gemacht:
- Drei Benutzer im DSM angelegt ohne Zugriff auf Ordner und Anwendungen.
- Den betroffenen Ordner per Link-Freigabe freigegeben, aber nur für die drei Benutzer.
- QuickConnect gibt den Ordner via "gofile.me" frei

Nun zu meinen "Sicherheitsvorkehrungen":
- Sichere Benutzer Kennwörter.
- Konten werden bei 10 fehlgeschlagenen Login-Versuchen für 30 Minuten gesperrt.
- Den Freigabe-Ordner verschlüsselt, und den Key sicher gespeichert (Also nicht im Schlüsselmanager sondern extern)
- Nutze nur QuickConnect. Ich habe kein Portforwarding eingerichtet und es auch nicht vor.
- Leider ist die Verbindung zu gofile.me laut Browser unverschlüsselt... Und damit wohl auch der Dateiaustausch...

Kann man das als "DSGVO"-konform betrachten? Habe ich alles richtig gemacht, oder alles falsch ?

 

[RichardB]

ohne Zugriff auf Ordner und Anwendungen.

Da werden Deine User viel Freude haben, weil sie dann genau nirgends hinkommen

 

[RichardB]

Ach ja: Wozu User anlegen, wenn die eh via gofile.me rankommen? Das ist schon doppelt gemoppelt

 

[Busta2]

Er hat den Freigabe link an den Benutzer gekoppelt

Interessante idee auch für mein Vorhaben!

 

[RichardB]

Mag sein. Nur ein User, der keinen Zugriff auf Ordner hat (also auch nicht auf die Filestation), kommt nirgends hin. Noch weniger, wenn alle Applikationen also auch DSM verweigert werden.

 

[Ulfhednir]

Kann man das als "DSGVO"-konform betrachten? Habe ich alles richtig gemacht, oder alles falsch ?

Also quickconnect fungiert als Relay-Server von Synology. Ob das jetzt DSGVO-konform ist, wäre im Zweifel abzuklären.

 

[RichardB]

Wenn alles, was am Relay-Server ankommt konform ist, dann ja. Wenn nicht ist es egal, weil es dann auch nicht konform ist, wenn es direkt irgendwo ankommt und von dort weitergegeben werden kann.

 

[Busta2]

Mag sein. Nur ein User, der keinen Zugriff auf Ordner hat (also auch nicht auf die Filestation), kommt nirgends hin. Noch weniger, wenn alle Applikationen also auch DSM verweigert werden.

Das müsste man testen. Den Link kann auch ein externer nur mit Passwort öffnen, vielleicht geht es dann auch über Benutzer, selbst wenn die keine file Station Berechtigung haben

 

[goetz]

Hallo,
natürlich funktioniert das (gerade getestet), es kommt ein Login-Fenster und danach die File Station mit dem Inhalt des geteilten Ordners.

Gruß Götz