@Matthieu:
Also das mit den Zugriffsrechten ist sicherlich eine komplizierte Sache. Aber das mit der gelebten Windows-Admin-Regel kann ich so jetzt nicht glauben. Denn bei Windows ist es doch immer so gewesen, es ist per default alles erlaubt und muß explizit eingeschränkt werden. Im Gegensatz die unixoide Regel daß der root Zugriffe erlaubt.
Aber mit dem DSM habe ich bemerkt, daß wenn ich in der Gruppe users keinen Haken setze, per default wohl die Windows-Regel greift. Bzw. manchmal der Zugriff funktionierte und manchmal nicht, wieso konnte ich nicht nachvollziehen. Deshalb hab ich eine eigene Regeln für mich definiert. Ich erlaube der Gruppe erstmal alles. Dann gibt es Gruppen bei mir, die entsprechende Zugriffe einschränken. Also hab ich eine Gruppe "user" ohne "s" angelegt, in der ich "normale" Benutzer führe. Denn wenn ich der Gruppe "users" ja was verbiete, ists auch dem admin verboten.
Da ein Verbot ja höher priorisiert wird, als eine Erlaubnis, fahre ich mit diesem System eigentlich ganz sicher. Wenn sich allerdings was ändert, ein neuer Benutzer hinzukommt, eine neue Freigabe hinzukommt oder ein neues USB-Gerät hinzukommt, muß ich die Rechte wieder wasserdicht prüfen.
Klar wäre es schön, wenn ich sagen könnte, die Gruppe A bekommt Zugriff auf A, B, C und D, die Gruppe B nur auf D. Aber irgendwie scheint das nicht zu klappen und man läuft Gefahr, daß etwas nicht so läuft, wie man es sich vorstellt.
Ich bin jedenfalls mit diesem Plan ganz gut gefahren. Auch wenn es etwas falsch herum gedacht ist. Aber so kann ich definitiv sagen, daß meine sensiblen Freigaben explizit vom FTP-Benutzer bzw. der Gruppe FTP-Benutzer nicht zugreifbar ist.