DSM 6.x und darunter Kein SMB-Zugriff mehr nach Änderung der Freigaben

[Pfanne]

Hallo,

ich hoffe ich hab die Untergruppe gewählt.

Ich habe folgendes Problem:

Ich habe eine DS211 mit WIN7(64) am laufen.
Konfiguriert sind mehrere User mit unterschiedlichen Rechten.

Jetzt habe ich festgestellt, dass mein Sohn von seinem Rechner aus auch auf alle HOME-Ordner zugreifen kann.
Das sollte so nicht sein, nachdem ich es nun geschaft habe diverse Rechte zu ändern geht nix mehr.

Von meinem Rechner aus (User: Pfanne) komme ich jetzt auf keinen Ordner mehr!
Wenn ich im Explorer den NAS ansehe wird nicht mal mehr ein Home-Ordner angezeigt.
Die normalen Ordner z.B. music sehe ich kann jedoch weder mit den admin noch mit meinen User-Daten daruf zu greifen.

Wenn ich mich über das Web-Interface als Admin einlogge sehe ich im Dateimanager nix mehr, früher konnte ich da mal alles sehen.

Was hab ich denn da verfummelt?
Gibt es eine Konfigurationsanleitung für mehrere user einschließlich admin (Wer sollte welche Freigaben haben ect.)

Danke für eure Hilfe......

EDIT:
Den Benutzer-Home-Dienst habe ich wieder gefunden, der ist global für alle User, den hatte ich beim admin entfernt!
Der Zugriff auf die anderen Ordner per Netzwerkfreigabe geht immer noch nicht.

Als Fehlermeldung erhalte ich folgendes:

 

[Merthos]

Mach doch das, was da steht...

 

[Pfanne]

Na wenn das ma keine kompetente Hilfe ist...... !!!

Ich verstehe den Hinweis so:

Ich habe z.B. meinen Home-Ordner als "normaler" User auf ein Laufwerk gelegt.
Jetzt versuche ich auf z.B. auf den music-Ordner als admin zu zu greifen.
Was dann die Fehlermeldung verursacht.
Sehe ich das in etwa richtig?

Was für Verbindungen könnten das denn sein?
Ich habe alle verbundenen Netzlaufwerke bereits getrennt, so dass meiner meinung nach keine Verbindung zum NAS mehr bestehen sollte.

Danke für eure Unterstützung

 

[Merthos]

Parallele Verbindungen mit unterschiedlichen Nutzern macht Windows halt nicht.

Also entweder alles mit einem machen oder immer alle Netzlaufwerke trennen (+wahrscheinlich Abmelden, damit auch wirklich alles weg ist) und dann mit dem anderen verbinden.

 

[Pfanne]

Hab ich probiert,
ich komme weder mit dem User noch mit dem Administrator auf die Ordner.
Auch im DSM-Filemanager fehlen die Ordner.

 

[Merthos]

Dann hast Du wohl was an den Rechten kaputt gemacht... Überprüf die nochmal, auch die Gruppen beachten.

 

[Pfanne]

Dann hast Du wohl was an den Rechten kaputt gemacht...

Witzbold.......da wäre ich so nicht drauf gekommen, deshalb habe ich mich doch vertrauensvoll an dieses Forum gewendet.....

Ich werde nachher mal alles neu aufsetzen.
Werden die Home-Ordner beim Löschen der Benutzer mit gelöscht?
Kann ich beim Ändern der Rechte bzw. beim Löschen von Benutzern Datenverlust verursachen?

Wie ist das mit den Rechten, sind Gruppenrechte überhaupt erforderlich?
Was hat Vorrang? Ich muss noch mal ein wenig lesen.
Ich habe das bisher so verstanden:
Benutzerrechte überschreiben Gruppenrechte, Gruppenrechte erscheinen mir nur bei vielen Benutzern sinvoll.
Bei 4 Benutzern bleibt es überschaubar.

Gibt es einen Zusammenhang zwischen dem bei WIN7 angemeldeten User (Name und Passwort) und den Benutzern im NAS?

Wie ist das mit den Rechten für die MedienOrdner (music, Video, Bilder) die können zwar für jeden Benutzer vergeben werden,
aber mit meiner PS3 sehe ich diese Ordner immer, auch ohne Rechte.
Wie ist es mit Gästen in meinem HomeLAN (z.B. Freunde von meinem Sohn) die können die MedienOrdner immer sehen da der MediaServer aktiv ist.
Ist das ein Schutz auf Zugriffsrechteebene möglich?

Fragen über Fragen........

 

[jan_gagel]

kommt drauf an, ich glaube, man kann beim Löschen eines Benutzers auswählen, ob das Home-Verzeichnis mit gelöscht werden soll. Um Datenverlusten vorzubeugen, ist immer ein Backup anzuraten. Falls noch nicht geschehen, ist jetzt die beste Möglichkeit dafür, bevor du das Ganze noch mehr verschlimmbesserst.

Die Rechte steuere ich generell über Gruppen. Von da her kann ich nicht sagen, ob die Benutzer-Rechte höherwertiger sind als die Gruppen-Rechte. Generell gilt, daß ein Verbot höherwertiger ist, als eine Erlaubnis.

Die Medien-Ordner kannst du auch mit Zugriffsrechten belegen. Das gillt aber nicht für den Medienserver. Deshalb sieht deine PS3 vermutlich den gesamten Inhalt, da sie sich ja nicht anmelden muß. Möchtest du an der PS3 nix sehen, mach den Medienserver aus. Ein Schutz ist hier nicht vorgesehen. Entweder du stellst was öffentlich (im Sinne von jeder im LAN darf das sehen) zur Verfügung oder nicht. Kann die PS3 auch eine Windows(Samba)-Freigabe einbinden? Vielleicht wäre das dann der bessere Weg?

Für deinen Sohn könntest du ein eigenes Subnetz einrichten. Die Fritzbox bietet z. B. die Möglichkeit ein Gast-LAN auf Port 4 zu betreiben, oder ein Gast-WLAN. Von dort aus ist nur Internet-Zugang möglich, LAN-Zugriff ist nicht möglich. Wäre doch auch ein interessanter Ansatzpunkt. Vielleicht bieten andere Router auch eine solche Funktion.

 

[Pfanne]

Am meisten stutzig macht mich die Tatsache, dass ich mit Admin Login im DSM nur noch das Home des Admins sehe, alle anderen Ordner sind weg?????
Das sollten neben den Medien-Ordnern noch ein Transfer- und ein Software-Ordner sein wo können die denn hin sein?

Gibt es einen Zusammenhang zwischen dem bei WIN7 angemeldeten User (Name und Passwort) und den Benutzern im NAS?

Wie schaut es denn hiermit aus?

Die Geschichte mit dem Medien-Server (ohne Rechteverwaltung) ist schön wenn nur berechtigte im LAN sind, da wie schon gesagt jeder sofort Zugriff hat.
Eine Samba-Kontrolle ist mit den meisten Geräten die Medien-Server unterstützen (TV, PS3, Handy) leider nicht möglich.

Für deinen Sohn könntest du ein eigenes Subnetz einrichten.......

So ähnlich mache ich es mit seinen Freunden, diese sind beim DHCP-Server bekannt und haben eine IP-Sperre (NAS-IP) drin.
Nützt nur leider nix wenn die mal mit nem neuen Rechner kommen....
Also bleibt nur die IP-Range auf die tatsächlich genutzen Geräte zu beschränken, schön wäre auch eine MAC-Kontrolle im LAN.

 

[Merthos]

Gibt es die gemeinsamen Ordner noch? Wenn ja dann alle Rechte ausnehmen und wieder passend setzen. Reboot gemacht?


NAS vs. Win: Macht die Sache einfacher, wenn bei beiden das gleiche PW verwendet wird, weil man sich dann nicht nochmal extra anmelden muss. Ansonsten vollkommen egal.

Medienserver: Firewall an der DS anmachen und nur die gewünschten Geräte erlauben. Muss aber halt eine Positivliste sein. Aber aufpassen, dass Du Dich nicht selbst komplett aussperrst.

Filter: Ehr ein Alibi-Schutz, auch die MACs kann man ändern. Und wenn einer eh feste IPs einstellt, ist der DHCP-Server vollkommen machtlos.

 

[Puppetmaster]

Gibt es einen Zusammenhang zwischen dem bei WIN7 angemeldeten User (Name und Passwort) und den Benutzern im NAS?

Wenn Benutzername und Passwort bei NAS und Windows übereinstimmen, kannst du vom Windows Account ohne Passwortangabe auf die für den Nutzer freien Ordner zugreifen. Mehr meines Wissens nach nicht.

Wie ist es mit Gästen in meinem HomeLAN (z.B. Freunde von meinem Sohn) die können die MedienOrdner immer sehen da der MediaServer aktiv ist.
Ist das ein Schutz auf Zugriffsrechteebene möglich?

Ich denke mal "nein", denn der Zugriff über DLNA ist offen, damit die lästige Passwort und Benutzergeschichte wegfällt.
DLNA ist ja auch nur eine Krücke. Wenn möglich sollte man immer auf Shares über Windows- oder Linuxfreigaben zugreifen.
Also -> Medienserver aus, wenn keiner dran soll. Oder ggf. noch durch die Firewall in der DS einzelne IPs (Bereiche) erlauben.

Für deinen Sohn könntest du ein eigenes Subnetz einrichten....

...so ähnlich mache ich es mit seinen Freunden, diese sind beim DHCP-Server bekannt und haben eine IP-Sperre (NAS-IP) drin. Nützt nur leider nix wenn die mal mit nem neuen Rechner kommen....

Deswegen ja auch kein DLNA. Neuer Rechner hin oder her: wer die Zugangsdaten nicht hat, bleibt draußen!
Man kann allenfalls die Ordner "sehen" (falls 'kein Zugriff' in der Rechteverwaltung nicht aktiviert), aber nicht darauf zugreifen.

Um die konkrete Rechtevergabe für deine Ordner einzusehen ist der Punkt "Vorschau" bei der Benutzereinrichtung ganz praktisch. Vielleicht meldest du dich im DSM nochmal als admin an und guckst bei deinen Privilegien, was bei "Vorschau" zu den einzelnen Ordnern steht. Diese Rechte hast du dann auch eingerichtet (möglicherweise als 'seltsame Kombination' aus Gruppen- und Einzelrechten).

 

[Pfanne]

Erst mal Danke für die Hinweise........

Ich werde nachher mal schauen......
Unter Systeminformationen / Aktuelle Verbindungen werde ich mal schauen welcher Rechner wie drin ist.

Ich hoffe nur ich hab noch nix weg gebeamt.

Gibt es die gemeinsamen Ordner noch?

Wie kann ich das feststellen wenn nicht mal mehr der admin was sieht?

 

[Merthos]

DSM - Systemsteuerung - Gemeinsame Ordner.

 

[Pfanne]

DSM - Systemsteuerung - Gemeinsame Ordner.

OK, ich dachte du meintest nicht im DSM sonder "in echt", sind noch da.

Hab´s wieder unter Kontrolle!

Generell gilt, daß ein Verbot höherwertiger ist, als eine Erlaubnis

Das wars, in meinem Verbotswahn habe ich der Standardusergruppe alle Rechte verweigert (ich doof)....
Da auch der admin in dieser Gruppe ist schlägt o.g. Regel zu!

So weit so gut...... erstmal vielen dank für die Blindenbetreuung!

Wie verstehe ich die Freigabe für den HOMES-Ordner, verstehe ich das richtig:
Die Sperre des HOMES-Ordner schließt den Zugriff auf alle anderen HOME-Ordner aus nicht aber den Zugriff auf den eigenen.
Das sollte verhindern, dass mein Sohn in meinem Home rum fummelt.

Ich wollte die Freigaben/Sperren auf Benutzer-Ebene einrichten, aus dem Standart-User habe ich jetzt alle Haken raus.
Gibt es einen Zwingenden Grung die Benutzerebene zu verwenden?

Die Sperre des Media-Servers für andere LAN-Nutzer kommt dann als nächstes.

 

[jan_gagel]

haha, das Problem mit der Gruppe "users" hatte ich auch mal. Dann hab ich mir spezielle Gruppen angelegt, in denen die "Verbote" quasi geregelt sind. Da die Gruppe users ja Vollzugriff auf alles braucht, hab ich dann eine Gruppe "user" ohne "s" angelegt, in der ich meine "normalen" User drin hab. Dann gibts eine Gruppe für ftp, die nur Zugriff auf die Freigabe für den FTP-Server zuläßt, und alle anderen Freigaben sperrt. Außerdem hab ich eine Gruppe TimeMachine, für TimeMachine-Backups, die ähnlich der Gruppe ftp fungiert.

Wegen der Sperren für den Media-Server über die Firewall. Paß verdammt auf, was du in der Firewall einstellst. Denn da mußt du ja eine Whitelist pfelgen mit den Beteiligten, die erlaubt sind. Wenn du da was falsch eintippst, bist du schneller draußen als du schauen kannst.

Wünschenswert wäre noch bei der Benutzerverwaltung im DSM, daß man die DSM-Anmeldung (übers Webinterface) verweigern kann. Sodaß nicht jeder User sich dort einloggen kann.

 

[Merthos]

"homes" sollte nur der Admin sehen, alle anderen kriegen nur ihr eigenens "home". So ist zumindest die Standardeinstellung.

Mit "Standart-User" meinst Du die Gruppe? Entscheide Dich für eines zur Rechtesteuerung, entweder nur Nutzer oder nur Gruppen, alles andere wird schnell verwirrend. Gruppen machen Sinn, wenn es mehrere gleiche Nutzer gibt.

 

[Puppetmaster]

Paß verdammt auf, was du in der Firewall einstellst. Denn da mußt du ja eine Whitelist pfelgen mit den Beteiligten, die erlaubt sind. Wenn du da was falsch eintippst, bist du schneller draußen als du schauen kannst.

Ich habe noch zu DSM 3.2 Zeiten mal versucht mich auszusperren. Sobald man allerdings in der Firewall eine Regel auf Anwendungsebene anlegt, die min. dem admin den Zugang zum DSM sperren würde, wird man gewarnt und diese Regel wird nicht etabliert.
Trotzdem ist es nicht auszuschließen, daß man sich eine Regel baut, die einen dann selbst draußen hält! Daher sollte man wie jan_gagel schon schrieb wirklich vorsichtig sein.

Wünschenswert wäre noch bei der Benutzerverwaltung im DSM, daß man die DSM-Anmeldung (übers Webinterface) verweigern kann. Sodaß nicht jeder User sich dort einloggen kann.

In der Tat! Das wurde hier auch kürzlich schon einmal in einem anderen Thread angeregt.
Ich verstehe gar nicht, wieso das nicht schon seit jeher möglich ist. Zumal der admin ja auch immer 'admin' heißen wird, und nicht geändert werden kann. Da müßte man dann nur noch das Passwort herausfinden...
Meiner Meinung nach dürften admins per se erstmal nur lokal auf den DSM zugreifen dürfen.

 

[Pfanne]

Update auf DSM 4 war auch erfolgreich......

Wünschenswert wäre noch bei der Benutzerverwaltung im DSM, daß man die DSM-Anmeldung (übers Webinterface) verweigern kann. Sodaß nicht jeder User sich dort einloggen kann.

Nutze dafür doch die Firewall deines Routers, nur deine IP erhält Zugriff auf die NAS-IP.
Das sollte doch so rum auch gehen.

 

[Pfanne]

Nutze dafür doch die Firewall deines Routers

Die sitzt natürlich vor dem dem Gateway zum WAN im LAN gibt es keine Firewall......

 

[Pfanne]

Ich habe meinen Home-Ordner als Laufwerk Z: verbunden, nach jedem Neustart kommt jetzt der Hinweis, dass nich alle Laufwerke verbunden werden konnten.
Bei der Anwahl des Laufwerke muss ich Benutzername und Kennwort neu eingeben, die Option "Daten Speicher" bringen nichts.

Ich habe das Laufwerk auch schon mal entfernt und mit einem als admin ausgefürten Explorer neu verbunden, leider auch ohne Erfolg.

Hat jemand noch eine Idee warum ich nach jedem Neustart den Zugang neu eingeben muss.

Danke für eure Unterstützung.
Pf@nne

EDIT:
Das WIN7 User-Passwort ist ander als das DSM-User-Passwort.
Eine einmalige Eingabe ist somit erforderlich, soweit ich das verstehe....