Gruppenrichtlinien von Users und Administrators

[schiller]

Hallo,

der User "admin" ist standardmäßig den Gruppen "administrators" und "users" zugeordnet.
Schränke ich nun die Rechte der Gruppe "users" ein, werden somit automatisch auch die Rechte des Users "admin" eingeschränkt. Den "admin" kann ich aber nicht von der Gruppe "users" lösen.
Folglich muss ich beiden Gruppen die selben Rechte vergeben. Aber was macht das für einen Sinn.

Schiller

 

[jahlives]

der Trick ist es der Gruppe users keine Rechte zu geben. Also nicht den Zugriff verweigern oder erlauben, sondern einfach nichts. Dann kannst du den Zugriff für deine admin Gruppe festlegen.

 

[Matthieu]

Zu den "administrators": Alle Benutzer in dieser Gruppe bekommen administrativen Zugriff, das heißt auch auf Systemsteuerung der DS, Backup usw.

MfG Matthieu

 

[Struppix]

Hallo,

der User "admin" ist standardmäßig den Gruppen "administrators" und "users" zugeordnet.
Schränke ich nun die Rechte der Gruppe "users" ein, werden somit automatisch auch die Rechte des Users "admin" eingeschränkt. Den "admin" kann ich aber nicht von der Gruppe "users" lösen.
Folglich muss ich beiden Gruppen die selben Rechte vergeben. Aber was macht das für einen Sinn.

Schiller

Das verstehe ich ehrlich gesagt nicht. Unabhängig was Du bei den Gruppen für Rechte einstellst, hat der admin doch immer Zugriff. Oder sehe ich das falsch. Durch eine Änderung der Gruppenrechte user, hier Verweigerung, lassen sich doch die Administratorrechte nicht einschränken. Wohl gemerkt auf der DSM Ebene und in Bezug auf den admin.

Oder übersehe ich da etwas ? Vielleicht kann mal einer ein Beispiel skizzieren.

Struppix

 

[jahlives]

ob man effektiv dem admin den Zugang verbauen kann weiss ich ned, aber das Prinzip dahinter ist, dass Verbote über dem Erlaubten stehen und alles Erlaubte wieder überschreiben. Wenn du eine eigene Gruppe hast und der Gruppe users den Zugriff explizit verweigerst, dann kannst du deiner Gruppe soviel Rechte geben wie du willst. Die Gruppenrechte von users (verweigern) überschreiben alle Rechte und damit scheitert der Zugriff

 

[Struppix]

Hi jahlives,

das ist schon klar, daß die "Verweigerung" über dem "Rest" steht.
Das man allerdings dem admin mit normalen Mitteln, einige kleine Fiesheiten mal ausgenommen, den Zugang auf DSM Fileebene verweigern kann, glaube ich nicht. Aber ich werde das mal testen.

Im Übrigen sehe ich die Geschichte mit den Gruppen rechten eh ein weing anders wie Ihr, wie mir scheint.

Meines Erachtens, sollte die Rechte für die 'Gemeinsamen Ordner' so angelegt sein, daß hauptsächlich Gruppenrechte und nur tw. bei Bedarf Userrechte vergeben werden, und stattdessen diese für die darunterliegende Struktur wieder eingeschränkt werden. Das hat den Vorteil, das wenn neue Verzeichnisse / Dateien angelegt werden, diese die darüberliegenden Rechte veerbt bekommen. Somit hat man, wenn man sich ein vernünftiges "Gerüst" ausgedacht hat, abgesehen von den expiziten Einschränkungen keine größeren Überaschnungen mit den Zugriffen. Weiterhin erleichtert es die Aufnahe / den Ausschluß einzelner User und Gruppen ungemein.

Struppix

 

[schiller]

Eure Aussagen sind mir alle plausibel. Vielen Dank.
Aber dennoch die Frage:
Wenn ich mit den beiden vorhandenen Standard-Gruppen, also "administrators" und "users" arbeiten möchte und alle user entweder in die eine oder in die andere Gruppe einbinde, so ist der standard "admin" dennoch beiden zugeordnet und verliert Ordnerrechte, wenn ich an der "user"-Gruppe rumschraube. Den admin von der user-Gruppe zu lösen, sodass er nur noch der "administrators"-Gruppe angehört funktioniert nicht.
Folglich muss ich der "users"-Gruppe alle Rechte geben und einen neue Gruppe für eingeschränkte Berechtigungen anlegen.
Dann sind wir aber wieder am Anfang angekommen und ich frage mich, was die standardmäßige "user"-Gruppe für einen Sinn macht.

Schiller

@alle
ich rede hier nur von Ordnerrechten, nicht vom Zugriff auf die Systemsteuerung

@Struppix
bei mir: durch eine Änderung der Gruppenrechte user, hier Verweigerung, werden die Administratorrechte einschränkt!

@jahlives
dein Trick hilft tatsächlich. Der admin hat dadurch wieder alle Rechte. Allerdings machte es dann auch keinen Sinn einen user anzulegen, der nur in der "users"-Gruppe ist, weil er dann ja garnix darf.

 

[jahlives]

mach eine neue Gruppe für deine "normalen" (aka nicht-admin User). Dann pack neue User jeweils in diese Gruppe und du kannst über diese Gruppe dann den Gruppenzugriff steuern. users ist eine default Gruppe, die eigentlich bei jedem Linux vorkommt

 

[schiller]

mach eine neue Gruppe für deine "normalen" (aka nicht-admin User). Dann pack neue User jeweils in diese Gruppe und du kannst über diese Gruppe dann den Gruppenzugriff steuern. users ist eine default Gruppe, die eigentlich bei jedem Linux vorkommt

...wird wohl die beste Lösung sein. Ich ignoriere jetzt die Gruppe einfach und hab ne eigene für eingeschränkte Berechtigungen angelegt.

 

[Struppix]

Hi, es ist tatsächlich so, wenn man die default Gruppe user aussperrt, das man dann auch per admin die "Datei" Rechte verliert. Hätte ich ehrlich gesagt, nicht gedacht.
Somit bleiben nur die zusätzlichen Gruppen, mit diverser Einschränkungen oder Erweiterungen, von denen ich ein gutes Dutzend nutze.

Struppix