Auf der Syno ("Server"!) selbst einen User mit Administratorrechten auszustatten, welchen man dann
dauerhaft auf dem Client nutzt ist meines Erachtens nach keine gute Idee (bitte erst weiterlesen, habe grade gemerkt, dass die Passage hier leicht missverstanden werden kann). man kann eine entsprechende Administratoren-Gruppe anlegen, die ggf. noch erweiterte Zugriffe auf die Freigaben hat (z.B. auf die IT-Doku o.ä.). In einer Windows-Domäne bist Du ja schliesslich mit Deinem "User" auch nicht als Domänenadministrator unterwegs. Einfach aus dem Grunde, da Du mit solchen Berechtigungen eben auch systemrelevante Einstellungen verändern kann. Sicher vor einer Komprimitierung bist Du sowieso nicht (es wäre irrsinnig so etwas zu glauben), von daher sollte das Benutzerkonto mit erhöhten Rechten nicht bei der "alltäglichen" Arbeit genutzt werden.
Wenn Du Dich im DSM mit dem "Admin" anmeldest, bekommst du so ziemlich alle Rechte (shell-technisch war dieser Account auch mal mit dem "root" verknüpft (anscheinend bis DSM5.x), was aber anscheinend mittlerweile nicht mehr so zu sein scheint, jedenfalls funktioniert die root-Anmeldung nicht mehr mit dem "Admin"-Passwort - jedenfalls bei mir). Wenn der User in der Administratoren-Gruppe ist, kannst Du durchaus noch am DSM Systemeinstellungen ändern, was aber "normalerweise" eben nicht der Fall sein sollte - das Gerät wird eingerichtet und danach nur noch "genutzt" (von Updates, neuen Usern, etc. mal abgesehen). In grösseren Umgebungen findet diesbezüglich ggf. sogar sowieso eine Authentifizierung über ein AD/LDAP (also eine zentrale Authentifizierung) statt. Dort können dann auch die entsprechenden Gruppen bzgl. den Zugriffsberechtigungen verwaltet werden, insofern würde gar kein Grund mehr bestehen, die User im DSM selbst noch anzufassen. User im AD-Controller z.B. in die Gruppe "Einkauf" und schon hat der User das entsprechend hinterlegte Recht auf der Syno für die AD-Gruppe "Einkauf". Schön einfach und zentral gesteuert.
Den o.g. Sachverhalt weiss man übrigens mal so "richtig" zu schätzen, wenn sich "mal wieder" jemand irgendeinen Müll eingefangen hat, der dann ggf. auch direkt losrattert und die ganzen Daten auf den Netzwerkfreigaben plättet... in solchen Momenten ist man immer heilfroh über 2 Dinge: eingeschränkte Rechte und - wie sollte es anders sein - das entsprechende Backup. Ein möglicheres "Problemszenario" wäre in diesem Fall: Du hast mit Deinem "User" (mit administrativen Rechten) Zugriff sowohl auf die Daten- als auch auf die Backupfreigaben. Sowas wäre z.B. völlig fatal, da im Falle einer Kompromitierung sowohl auf die Datenfreigabe, als auch auf die Backupfreigabe zugegegriffen werden könnte. Wenn man dann keine Sicherung für ein Worst-Case-Szenario hat ist man schon ziemlich ... angeschissen (wenn man das mal frei so sagen darf
). An dieser Stelle sei nochmal erwähnt, dass man - sofern man auf ein NAS sichert - es einen ganz eigenen User für das Backup geben sollte (also nicht via "Admin" einem sonstig genutzten User!).
Wie ich schon sagte: es gilt eben der Grundsatz: so viel wie nötig, so wenig wie möglich. Das sollte ganz generell so sein, ebenso wie "grundsätzlich ist alles verboten, was nicht explizit erlaubt ist".
Wenn man also "wirklich" mal administrativen Zugriff braucht, kann man sich noch immer als administrativer User anmelden (ist übrigens schon korrekt, "Admin" deaktivieren, neuen User mit Adminrechten erstellen, aber nicht dauerhaft benutzen!). Bei manchen Fällen ist es mir übrigens schon untergekommen, dass man den "Admin" kurzweilig wieder reaktivieren musste, da es ansonsten nicht weiterging, aber das sind eben auch nur "temporäre" Dinge, die direkt danach auch sofort wieder geändert werden).
Was das hier angeht "Das wäre sowieso mal interessant zu wissen, was ausser den Schreibrechten noch alles gewährt wird."... schnapp Dir ein kleines NAS (DS11x z.B.), pack einen User in die Admingruppe und dann tob Dich mal aus ... (z.B. auch auf der Shell, sofern das funktioniert)... versuch halt soviel kaputt zu machen, wie es nur irgendwie geht und da wird mit Sicherheit einiges gehen (bedenke auch, dass unsereins auch nicht alles weiss und die "findigen" Leute (mit böser Absicht), weitaus mehr "Möglichkeiten" sehen, als die "einfachen Administratoren"). Mit etwas Glück tauchen dann auch entsprechende Exploits in Portalen wie diesem
hier auf, allerdings werden die meisten nicht dort erscheinen, sondern eher stillschweigend unter der Hand verkauft, oder aktiv ausgenutzt um ggf. Botnetze aufzubauen, oder eben Geld zu erpressen. So eine Thematik hatten wir ja schon mal mit dem SynoLocker.
Naja, ist aber... ist alles kein statisches Regelbuch, vielmehr eine persönliche Einstellung... Jedenfalls sollte Komfort nicht vor Sicherheit gehen, so sehe ich das zumindestens und ich meinte ebenfalls, dass Administratoren in Firmen es ebenso sehen sollten. Bei Privatleuten soll ja jeder machen wie er/sie lustig ist, aber eben auch nicht auf Kosten anderer. Stellt sich in einer Firma im Schadensfall heraus (z.B. aufgrund eines externen Gutachtens), dass es an den erweiterten Berechtigungen des Administrators lag, der schlichtweg zu faul war, wird man ihn vermutlich fristlos entlassen, da so etwas schon als grob fahrlässig gewertet kann. Ein sehr grosser Streitpunkt bei dieser Thematik ist übrigens folgender:
Ich bin Chef, ich darf alles! Ganz besonders schlimm, wenn der Chef dann noch gehört hat, dass es sowas wie einen Domänenadministrator überhaupt gibt. Da greifen viele Chefs dann leider hart durch und wollen "unbedingt" in die Domänenadministratorgruppe.... "Wenn" Dir sowas mal unterkommen sollte - schütze Dich und Deine berufliche Karriere! Lass ihn ein Schreiben unterschreiben, wo ganz klar drin steht, dass Du definitiv davon abgeraten hast (verbieten kannst Du es ihm ja nicht) und das Du in keinster Weise zur Verantwortung gezogen kannst, wenn der Chef sich dann etwas einfängt und das ganze Firmennetz geplättet wird. Hört sich komisch an, ist aber so ... "geben Sie mir Administratorenrechte, ich bin hier der Chef!"... kurze Zeit später ist alles platt, Chef kommt zur Dir "Hier geht nix mehr, wie unfähig sind Sie eigentlich?! Sie sind fristlos entlassen!".... Ist zuweilen auch schon häufiger vorgekommen und kein Chef wird im Arbeitsvertrag unterschreiben, dass er in diesen Dingen den Anweisungen des Administrators Folge zu leisten hat
Es gibt aber durchaus Chefs die ganz klipp und klar hinter Dir stehen und eben auch einräumen, dass "Du" der Fachmann dafür bist und von nichts etwas wissen wollen, ausser: Sie wollen Zugriff auf die "benötigten" Unterlagen und eben, dass der Laden läuft. In solchen Fällt es dann auch i.d.R. neue Ideen zu etablieren.
So... ich hoffe ich konnte ein wenig Aufschluss geben. Ich weiss, dass es auch hier bestimmt wieder den ein oder anderen Kritikpunkt gibt, aber ich habe hauptsächlich meine persönliche Meinung von mir gegeben und bitte dementsprechend Rücksicht zu nehmen
EDIT: "Da ich ja der Administrator bin" ich bin beim verfassen diesen Textes davon ausgegangen, dass Du auch in einer Firma der Administrator bist, bei einem Gerät der Businessklasse wie der DS3615xs...
