DS 213 unter WinXP als Netzlaufwerk anlegen

[mae-syn]

Hallo,

nach vielen vielen Versuchen und intensivers Suche im Forum etc. kapituliere ich. Vermutlich sehe ich den Wald vor lauter Bäumen nicht

Vermute mein Fehler liegt beim Anlegen in WinXP - siehe beigefügte Dokumentation. Meine Buffalo Station habe ich damals mit einigem basteln hinbekommen, aber Synology ist noch deutlich komplexer.

Vielen Dank für Hinweise / Links.

Marc

 

[bohne]

Nur so aus dem Bauch heraus, hast du der Gruppe "users" evtl. den Zugriff auf den Ordner verweigert?

 

[mae-syn]

Hallo "Bohne",

vielen Dank für sofortige Reaktion.

...Gruppe "users" ....

Welche Gruppe "users" ?
Meinst Du vielleicht "guest" (siehe Anlage) - dem wäre dann so.

 

[jan_gagel]

wieso verbindest du \\synology-1\volume1\freigabe?? korrekt müßte das doch so aussehen: \\synology-1\freigabe

 

[bohne]

Wenn Du jetzt unter den Privilegieneinstellungen im Drop-Down Menü "Lokale Gruppen" auswählst, erscheinen die Berechtigungen für die einzelnen Gruppen.

Jeder im DSM angelegte User ist Mitglied in der Gruppe "users", dies kann man auch nicht verhindern.

Die Privilegienprioritäten der DS sehen wie folgt aus:
Kein Zugriff > Lesen/Schreigen > Nur Lesen

 

[mae-syn]

"Zwischeninformation"

Hallo Jan,

das Leben könnte so einfach sein - scheint zu klappen. Berichte nochmals.

 

[mae-syn]

Vorab erneut herzlichen Dank an "Bohne" und "Jan" für die superschnelle Reaktion. Ein wichtiges Argument für Syonlogy - der Eindruck eines aktiven Forums - wurde beeindruckend bestätigt.

@ Jan: Wie schon vorhin kurz vermeldet: \\synology-1\firma war die Lösung.

@ Bohne: User-Gruppe gefunden - aber als Gruppe bisher nicht mit Rechten versehen (siehe Anlage). Für die ersten Versuche (Dateien kopieren und herunterladen) benötige ich dies auch nicht. Da nur 3-4 User Zugriff haben, werde ich mir noch genauer ansehen, ob "Einzeluser" oder "Gruppenrechte" (oder "was auch immer") das für mich passende Vorgehen ist.

 

[jan_gagel]

gut, daß es so einfach war. Was bohne sagen wollte, die Gruppe "users", in der jeder Benutzer standardmäßig drin ist, sollte nicht von Freigaben ausgeschlossen werden. Denn ein Verbot ist von höherer Priorität als eine Erlaubnis. Soll heißen, du verbietest der Gruppe "users" den Zugriff auf ein Share, kannst du es einem enthaltenen Benutzer nicht mehr erlauben. Ich selbst habe noch eine weitere Gruppe "user" angelegt, in der meine "Standard-Benutzer" drin sind. Die Gruppe users (die Standard-Gruppe der DS, mit "s" am Ende) erhält also bei mir Vollzugriff auf alle Freigaben. Dann habe ich weitere Gruppen angelegt, die quasi den Zugriff eingrenzen. Ist zwar hintenrum gedacht, und kann auch manchmal gefährlich sein, aber wenn man es verstanden hat, kein Problem. Wobei ich da keine größere Struktur mit abbilden möchte.

Gefährlich ist es, wenn man einen User Zugang via FTP erlaubt, so zum Beispiel, und folglich eine Gruppe "ftpusers" oder so ähnlich anlegt, der der Zugriff auf alle anderen Shares verboten wird, nur das einen zum Datenaustausch bleibt zugänglich. Schließt man jedoch eine neue USB-Platte an, ist der Zugriff dort hin erst mal nicht verboten (erlaubt wollte ich jetzt nicht sagen, obwohl es ja zutrifft). Also muß man schleunigst sein Sicherheitskonzept überarbeiten, wenn man neue Datenträger anschließt. Ich hab diesbezüglich mal einen Call bei Synology aufgemacht. Vielleicht bauen sie es demnächst mal etwas um. Gerade beim Backup-Lauf wäre es ja doof, wenn da Zugriff via Internet möglich wäre.

 

[bohne]

@ jan-gagel

Die Gruppe users (die Standard-Gruppe der DS, mit "s" am Ende) erhält also bei mir Vollzugriff auf alle Freigaben.

Zu Bedenken bleibt bei dieser Variante, dass jeder neue User sofort Zugriff auf alle Freigaben hat, was natürlich kritisch ist, wenn er in keiner weiteren Gruppe bei Dir Mitglied ist.

Meine Konfiguration sieht so aus:
Bei der Gruppe "users" wird keinerlei Auswahl getroffen, damit haben alle User erst einmal keine Rechte. Rechte werden dann über andere Gruppen oder evtl. einzeln erteilt. Hierbei ist allerdings zu berücksichtigen das die Privielegienpriorität "kein Zugriff" nicht greift.

 

[jan_gagel]

@bohne: korrekt soweit. Aber beim Anlegen eines Users pflege ich ihn dann immer mindestens in meine Gruppe "user" zu übernehmen, dann sind kritische Bereiche nicht zugänglich. Prinzipiell könnte man das sogar noch staffeln, die Gruppe "users" bekomme Vollzugriff (da hier jeder Mitglied ist), die Gruppe "user" bekommt Verbote auf kritische Verzeichnisse, die Gruppe "ftpusers" bekommt weitere Verbote, quasi alles wird verboten, nur die ftp-Freigabe bleibt zugänglich. So werden die Rechte immer weiter eingeschränkt, je nach Mitgliedschaft des Users.

Was meinst du mit der Aussage, daß du keine Rechte der Gruppe "users" vergibst und dann "kein Zugriff" keine Funktion hat? Bedeutet das, daß die User bei keinen gepflegten Rechten der Gruppe "users" quasi "Erlaubnisse" bekommen müssen, um zugreifen zu können?

Zu meinem Szenario nochmal. Ich überprüfe immer alle Zugriffsrechte, wenn ich:
- einen neuen User anlege (zwecks Mitgliedschaft in verschiedenen Gruppen)
- wenn ich ein neues Share anlege (welche Gruppe welche Rechte benötigt und wer davon ausgesperrt werden muß)
- wenn ich einen neuen Massenspeicher anschließe (eSATA, USB)

Ich arbeite ausschließlich mit Gruppen-Rechten. Einzelne User-Rechte vergebe ich explizit nicht, denn das macht alles noch unübersichtlicher. Und Unübersichtlichkeit beherbergt Fehlerquellen.

 

[bohne]

@jan_gagel
Zur Erklärung:
Für den Ordner "A" wählst Du bei der Gruppe "users" nichts aus, der Gruppe XY erteilst Du für den Ordner "A" Lese/Schreibrechte. Ergebnis=die User der Gruppe XY haben Zugriff auf den Ordner "A", alle anderen User haben keinen Zugriff.
Hier greift die Privilegienpriorität "kein Zugriff"nicht, da Du nicht die Auswahl "kein Zugriff" gewählt hast.

Hätte ich in obigen Beispiel der Gruppe "users" "kein Zugriff" ausgewählt hat nach der Privilegienprorität kein User Zugriff.

Somit stelle ich erst einmal sicher, dass jeder User nach dem Erstellen keine Zugriffsrechte hat, erst wenn ich ihn in die entsprechende Gruppe verschoben habe erhält er seine Rechte.
Ich arbeite ebenfalls nur mit Gruppen.