Kombifrage Benutzer, Gruppen, Berechtigungen, Photostation etc.

[zippo2586]

Hello Leute,

sorry wenn das Topic etwas komisch klingt und der ein oder andere Punkt mit Sicherheit schonmal behandelt wurde. Ich verstehe bei meiner DS215j mit aktuellem BS einige Dinge nicht:

1. Warum ist der Admin immer auch in der Usergruppe? Ich habe mal alle Benutzer und alle löschbaren Gruppen rausgekillt. Es gibt also nur noch den admin und den guest (deaktiviert). Der admin ist grundsätzlich in allen Benutzergrupen "administrators", "http", "users". Wenn ich aber für die Gruppe "Users" eingeschränkte Berechtigungen verwende, weil ich als Admin alles können will und die users-Gruppe eben nicht alles können soll, stören sich ja die Berechtigungen.

Ich verstehe also nicht so ganz die Ebenen der Benutzer- und Gruppenrechte. Welche steht über welcher, also sind Berechtigungen für Gruppen immer vorrangig vor denen eines Benutzers?

2. In dem Zusammenhang nutze ich Video- und Photostation. Wenn ich mich bei den beiden anmelde, kommt bei der Photostation oft die Meldung, dass ich keine Berechtigung habe um auf diesen Ordner zuzugreifen... Was ich überhaupt nicht verstehe, denn der Anmeldebenutzer hat alle Berechtigungen.

Es gibt zwar viele Erklärungen aber nicht wirklich eine, die mal die Hierarchie der Berechtigungsebenen erklärt. Kann mir da einer helfen? Ich will halt selbst Admin sein, der alles kann und alles darf und dann verschiedene Benutzer einrichten, die teilweise nur Lesezugriff haben und nur die Videostation nutzen dürfen.

Wäre super, wenn mir da einer helfen kann. Grüße in die Runde

 

[Puppetmaster]

1) Der Admin ist in der Gruppe "users", weil er eben ein ganz normaler Benutzer ist. Er hat lediglich erweiterte Rechte. Der "echte admin" auf einer Linux Kiste ist root. An den Gruppenrechten der gegebenen Systemgruppen solltest du tunlichst nichts ändern, hier schadest du im Zweifel mehr, als dass es nutzt. Definiere eigene Gruppen und darin die Rechte. In dem Zusammenhang gilt, dass ein Verbot steht die Erlaubnis überstimmt. Gibst du einem Benutzer als in seinen persönlichen Rechten Zugriff auf etwas, und ist er gleichzeitig in einer Gruppe, die das verbietet, so ist es verboten.

2) die PhotoStation bringt ihre ganz eigene (evtl. verwirrende) Benutzerverwaltung bzw. Rechteverwaltung mit. Hier wird alles innerhalb der PhotoStation gesetzt.

 

[zippo2586]

Verwirrend ist das richtige Wort ^^. Erstmal danke für die Infos. Verstehe aber nicht wie der, meinetwegen "genannte" admin durch die Zuordnung der Gruppe "administrators" und "users" somit durch die Usergruppe beschränkt ist. Das macht doch keinen Sinn. Auch wenn bei Linuxsystemen root der Admin ist, brauche ich ja für die Anmeldung einen Benutzer... Der soll nunmal alles können und dürfen und das muss ja möglich sein.

Ich muss doch sagen können:

1. Gruppe "administrators": kann und darf alles und dazu gehört Benutzer "admin"

2. Gruppe "users": eingeschränke Leserechte und dazu gehören Benutzer "a", "b", "c"

Sobald ich aber die Rechte der Gruppe "users" einschränke, ist der Admin, nach Deiner Erklärung "In dem Zusammenhang gilt, dass ein Verbot steht die Erlaubnis überstimmt", ja eingeschränkt. Ergo müsste die Gruppe adminstartors und users ja die selben Rechte haben, was überhaupt keinen Sinn macht.

 

[Puppetmaster]

Vergiss einfach, dass es diese beiden Gruppen gibt! Da hast du nichts einzustellen. Wenn du einen Benutzer erstellst, der "alles" können soll, dann gibst du bei der Erstellung an, dass er ein Administrator sein soll. In der Folge kannst du ihm dann - individuell - Rechte an den Freigaben und Applikationen geben. Analog machst du es für nornmale Benutzer.

Möchtest du darüberhinaus die Rechte (Freigaben und Benutzer) lieber über Gruppen regeln (aufgrund der Anzahl der Benutzer), dann erstellst du eine Gruppe und regelst die Rechte dort.

In deiner Terminologie:

1) ja, das machst du beim Erstellen des Benutzers (nicht aber in der Gruppe 'administrators' - Finger weg!)

2) diese Rechte vergibst du direkt im Benutzer, oder eben über Gruppen, je nach persönlichem Gusto. Nur eben nicht innerhalb der Systemgruppen!

 

[zippo2586]

Ok, bedeutet die Standards in Ruhe lassen und für alles andere neues anlegen.

Problem: ich hab an den Standardgruppen und Users schon rumgedoktort. Es klappt zwar alles, aber kann ich irgendwo die Standard Benutzer und Gruppen wiederherstellen? Ohne die restlichen Einstellungen zu verlieren?

 

[Puppetmaster]

Vermutlich. Ich kann dir nur aus dem Kopf den Standard nicht nennen.

 

[zippo2586]

Komisch ist immer noch, wenn ich einen neuen Benutzer anlege, und will, dass dieser sozusagen mein Admin ist, dann wird der Benutzer automatisch der Gruppe users zugeordnet. Jetzt sagen will mal, dass users grundsätzlich nicht auf die File Station zugreifen können dürfen, aber sehr wohl auf die Video Station. Dann macht das alles doch gar keinen Sinn. Durch die Restriktion der Gruppe users, der immer ein neuer User zugeordnet wird, kann ich mich grundsätzlich ja nur mit dem admin bei der File Station anmelden. Und eigentlich mit dem auch nicht, weil der in allen Gruppen ist. Also genauer:

- Gruppe admin darf alles
- Gruppe users darf alles außer File Station
- Der Benutzer admin gehört zu allen Gruppen

Dann dürfte der admin doch nach Deiner Beschreibung nicht auf die File Station zugreifen...

Sorry aber ich blicke da nicht durch. Wenn jeder Benutzer immer der Standardgruppe users zugeordnet ist, kann ich mit verschiedenen Gruppen ja gar nicht arbeiten, außer die Gruppe users kann und darf alles und ich beschränkte es dann über eine neue Gruppe... Aber wozu gibt es dann bitte eine Gruppe administrators und users, die eigentlich exakt die gleichen Einstellungen haben?

 

[Puppetmaster]

Nochmal: vergiss doch einfach die Gruppe users.
Um in deinem Beispiel zu bleiben: lege doch einfach eine Gruppe an, meintwegen users2, die die FileStation blockt. Dann ordnest du halt jeden neuen User eben ganau auch dieser Gruppe user2 zu. Und fertig.

So ganz verstehe ich dein Problem irgendwie nicht (mehr).