Gruppe

Status
Für weitere Antworten geschlossen.

Denniis

Benutzer
Mitglied seit
17. Dez 2016
Beiträge
35
Punkte für Reaktionen
0
Punkte
12
Guten Abend,

Ich würde gerne eine Gruppe erstellen. wie Admin nur das die Gruppe nicht alles haben sollen bis auf kleinichkeiten. z.b Benutzer nicht löschen aber erstellen kann. ist dies möglich?
wenn ja wie.

LG Dennis
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Ich denke was Du suchst, ist das Thema ACL :)
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
... z.b Benutzer nicht löschen aber erstellen kann. ist dies möglich?
Nein, das ist nicht möglich... und mit ACL hat das nichts zu tun, dabei handelt es sich lediglich um eine feingranularere, erweiterte Rechtevergabe für Dateien und Ordner. Die Benutzerverwaltungsrechte zur Erstellung eines Users ist der Administratoren-Gruppe vorbehalten und beinhalten auch das Recht, User löschen zu können.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Oh man... *Kopf->Tisch* völlig verlesen, danke Frogman... (ist schon spät *g*).... Frogman hat Recht, mit Boardmitteln für den normalen Laien nicht möglich.

Theoretisch möglich, aber nur mit viel Fummelei und extra Webinterface (oder Shell) zur Organisation des Verzeichnisdienstes/LDAP (Stichwort: OU) und diese OUs bietet Synology nicht an, sondern lediglich den Zugriff auf Benutzer und Gruppen, aber OUs wären für so eine feine Zugriffsregeln genau das richtige. Man "könnte" natürlich versuchen mit extra Webinterface oder Tool im Verzeichnisdienst rumzubasteln, ist aber eher ziemlich fragwürdig und eben auch ohne Garantie, da man auch nicht weiss, ob es mit untergeordneten OUs überhaupt funktionieren würde... Von daher... besser nicht basteln! Falls der Bedarf doch "zwingend" vorhanden sein sollte -> Fachmann kontaktieren, welcher sich auch mit der LDAP-Thematik auskennt!
 

4bob

Benutzer
Mitglied seit
04. Mai 2016
Beiträge
604
Punkte für Reaktionen
2
Punkte
38
Oh man... *Kopf->Tisch* völlig verlesen, danke Frogman... (ist schon spät *g*)....
Bei dir war es wohl richtig spät - Selbst mit dieser Theorie wohl kaum machbar;)

Wenn die DS über eine LDAP Verzeichnisdienst angebunden wird, wie von dir vorgeschlagen, werden die User und Gruppenobjekte aus einer OU importiert und entsprechend mit Rechten über das vorhandene DSM verwaltet und dann auch nur auf Freigaben, Quote, unterstütze Applikationen und Geschwindigkeitsbeschränkungen. Folglich macht es keinen Sinn einen LDAP Dienst hier mit einzubinden wenn die Rolle (Rechte) des Administrators weiterhin nur über eine bereist vorhandene DSM Gruppe gesteuert wird.

und diese OUs bietet Synology nicht an, sondern lediglich den Zugriff auf Benutzer und Gruppen,

Doch, das ist Synology's eigenes LDAP Paket: https://www.synology.com/de-de/dsm/app_packages/DirectoryServer
aber wie bereits gesagt ändert ein Verzeichnisdienst hier nichts an Gruppenrechten.

Bob
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
@bob: Ja klar,aber es ging doch darum, User mit administrativen Rechten auszustatten - dies würde doch nur innerhalb des Tools und via DSM stattfinden... Kurzum - an ein LDAP gekoppelt, das LDAP wird "extra" verwaltet (DSM-unabhängig) inkl. OUs usw. Dort kann man dann auch Usern Rechte auf Unter-OUs geben zum erstellen/verwalten von Usern - hat ja bis dahin erstmal rein garnichts mit dem DSM zu tun (ausser LDAP läuft darauf, oder eben extern). Das sollte soweit kein Problem darstellen. Das mit dem DirectoryServer ist mir schon durchaus klar... aber auch dort kannst Du entsprechende OUs und Berechtigungen einpflegen ... natürlich nicht via Syno-Webinterface (das meinte ich mit "nicht anbieten"), das ist schon klar... deswegen spreche ich ja auch davon, dass ein extra Tool/Webinterface genutzt wird, da im DSM diese Möglichkeit eben nicht implementiert ist - jedenfalls habe ich "nirgendwo" was von OUs gesehen.. nur LDAP-User und LDAP-Gruppen.

Was heisst hier Gruppenrechte - es wäre ja eher so, dass ggf. eine OU unter der Gruppe User erstellt wird (fraglich ist dann eben nur, ob die User unterhalb OU dann mitgenommen wird auf der Auflistung der User innerhalb des DSM!). Auf diese OU kannst Du doch einem User entsprechende Rechte geben (nach unten vererbt). Dann sollte genau "das" Konstrukt möglich sein, wie der TO es sich wünscht (sofern die User unterhalb der OU dann auch mitgenommen werden)? :)
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...Dann sollte genau "das" Konstrukt möglich sein, wie der TO es sich wünscht
Genau eben jenes nicht. Ist wohl auch am Tag zu spät... denn der TE hat ja deutlich geschrieben, was er sich wünscht:
...wie Admin nur das die Gruppe nicht alles haben sollen bis auf kleinichkeiten. ...

Und alles, was Du beschreibst, liefert Dir keinerlei administrative Rechte auf dem DSM, wie 4bob auch schon schrieb.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Ach Frogman... soll ich nun mit " z.b Benutzer nicht löschen aber erstellen kann. ist dies möglich?" gegenargumentieren? Das wäre doch genau das Beispiel gewesen... bei "anderen" Dingen muss man halt eben schauen mit den Berechtigungen und selbst da kannste noch viel via Shell lösen... Einigen wir uns wie folgt: Ich hab nix gesagt? :rolleyes: :p
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Deine Freundlichkeit kennt wahrlich keine Grenzen... wunderbar! :eek:
 

4bob

Benutzer
Mitglied seit
04. Mai 2016
Beiträge
604
Punkte für Reaktionen
2
Punkte
38
Kurzum - an ein LDAP gekoppelt, das LDAP wird "extra" verwaltet (DSM-unabhängig) inkl. Ous
Dort kann man dann auch Usern Rechte auf Unter-OUs geben zum erstellen/verwalten von Usern - hat ja bis dahin erstmal rein garnichts mit dem DSM zu tun (ausser LDAP läuft darauf, oder eben extern). Das sollte soweit kein Problem darstellen.
Das steht hier auch nicht zur Diskussion. Ob du das auf der DS oder extern betreibst ist vollkommen gleich. Es wird in beiden Fällen über den LDAP-Client angebunden und das stellt neue User und Gruppen bereit.

Was heisst hier Gruppenrechte - es wäre ja eher so, dass ggf. eine OU unter der Gruppe User erstellt wird (fraglich ist dann eben nur, ob die User unterhalb OU dann mitgenommen wird auf der Auflistung der User innerhalb des DSM!).
Das geht - entscheidet die LDAP Konfiguration; genauer die Base DN, die kann recht weit vorne Anfangen dann erwischst du alles und jeden; nur Vorsicht bei sehr großen Datenbanken – das ist nicht empfehlenswert ;)

Auf diese OU kannst Du doch einem User entsprechende Rechte geben (nach unten vererbt). Dann sollte genau "das" Konstrukt möglich sein, wie der TO es sich wünscht
Das größte Problem was ich sehe das auch selbst wenn die LDAP Einschränkung erfolgreich wäre, der Zugriff auf die lokalen User und Gruppen weiterhin besteht!
Sowie LDAP nur eingeschränkt die lokalen User ersetzen kann, das hängt ganz von der Anwendung ab, wie gesagt es wird nicht überall unterstützt.

Bob
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Mit diesen Informationen wird der TE ja erschlagen. :p
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat