Muss ein Administrator auch in der Gruppe User sein?

[dvdr]

Hallo
ich hab' mich jetzt mal durch die Rechtevergabe auf meinem neuen NAS gekümmert - alles schön neu aufgesetzt, ohne Altlasten (nur die Daten kopiert). Und dann gleich auch nochmal die recht laxe Rechtevergabe von früher versucht, möglichst streng & sicherer zu machen.

Jetzt habe ich aber ein Problem, wenn ich mich mit GoodSync vom PC aus per SMB verbinden will (ich habe da diverse Backup-Routinen programmiert): ich kann mich mit dem Administratoren-Konto per SMB auf einen shared folder verbinden, wenn ich aber dort in ein Unterverzeichnis will, kommt noch mal die Abfrage nach den Benutzer und Passwort - und das sei dann angeblich "falsch". Ich komme als nicht an die Inhalte dieses "shared folders"

Und so habe ich meine Benutzerrechte auf der Synology vergeben
1. einen Benutzer "A" mit Admin-Rechten angelegt, der darf alles. Und (war Sicherheitstipp hier) das admin-Konto deaktiviert. Ich nutze also die vollen Privilegien von "A" statt mit "admin/passwort" zu arbeiten.
2. Dieser neue Benutzer ist Mitglied der Administratoren-Gruppe, aber nicht der Gruppe "User"
Dann - das spielt aber für das Problem erstmal keine Rolle:
3. Dann gibt es einen weiteren Benutzer "B", der hat Lesezugriff auf einen Geteilten Ordner und Schreib/Lesezugriff auf einen anderen - für den Rest der Ordner hat er keinen Zugriff. Benutzer "B" ist nur Mitglied der Gruppe "User". Der soll ja nicht alles dürfen und bekommt entsprechend beschränkte Rechte.

Mein Verständnis war - und da liege ich wohl falsch, aber ich weiß nicht warum - dass Administratoren etwas anderes sind als normale User, und einfach alles dürfen und es deshalb genügt, dass sie Mitglied der Admin-Gruppe sind.

Als Benutzer "A" mit Admin-Rechten und Vollzugriff auf alle Geteilten Ordner habe ich das oben beschriebene Problem.
Wenn "A" NUR in der Admin-Gruppe ist, kommt er beim Einloggen per SMB auf alle "shared folders", aber nicht auf die Unterordner (Passwort-Abfrage schlägt fehl)
Erst, wenn ich Benutzer "A" nicht nur zur Admin-Gruppe, sondern auch zur Gruppe der User hinzufüge, kommt Benutzer "A" per GoodSync auch in die Unterordner, die in den Shared Folders liegen. Eine zweite Passwort-Abfrage findet nicht statt, nur die erste beim Einloggen auf den Shared Folder.

Und da hängt es bei mir: wenn User "A"Administator ist UND Schreib/Leserechte für ALLE Shared Folders hat - warum gibt es dann diesen Fehler? Warum muss "A" auch in der Gruppe der User sein?

Das komische ist, dass ich auf dem Mac, auf dem GoodSync läuft, im Finder auf alle Ordner der Synology zugreifen kann, wenn ich mich EINMAL als Benutzer "A" anmelde - also auch auf die Unterordner, denen sich GoodSync verweigert.

Ich hoffe, ich konnte das Problem einigermaßen nachvollziehbar schildern!

 

[blurrrr]

Was auch immer Du tust, aber: FASS DEN ADMINISTRATOR NICHT AN! Davon ab sollte dieser auch NUR zum "administrieren" benutzt werden und nicht, um sich auf irgendwelche Shares zu verbinden... dafür machste extra User - kostet zwar mehr Zeit, aber sicher ist sicher.

 

[RichardB]

Kann es sein, dass Du in den System-Default-Groups etwas geändert hast? Das wäre nämlich keine gute Idee.

 

[synfor]

Ein Administrator hat nicht per se alle Rechte, er kann sich aber im Gegensatz zu normalen Benutzer benötigte Rechte verschaffen. Außerdem sind doch immer alle Nutzer standardmäßig in der Gruppe Users? Ich kann hier die Benutzer auch gar nicht aus Users entfernen. Da hast du anscheinend was kaputt gebastelt.

 

[dvdr]

FASS DEN ADMINISTRATOR NICHT AN!

Danke für die klare Warnung!
Vielleicht hab ich mich falsch ausgedrückt, hier im Forum ist aus Sicherheitsgründen folgendes empfohlen worden:
Einen Benutzer(namen) anlegen, der nicht "admin" ist und diesem Administrator-Rechte geben. Dann den Nutzer "admin" deaktivieren, weil dieser Name ein einfaches Angriffsziel ist und sich künftig mit dem angelegten Benutzer auf der Synology anmelden.
Das habe ich gemacht.

Dann dem Nutzer "A", der Administrator-Rechte hat, Lese- und Schreibrechte auf alle Shares gegeben (das ist für mich der Standard-Nutzer, mit dem ich mich z.B. von meinem Mac auf die Synology verbinde - da brauche ich ja Zugriff auf die Shares). Oder muss ich da einen weiteren User anlegen, der keine "Administratoren-Rechte" hat, aber Vollzugriff auf alle Shares?

Der Nutzer "B", den ich noch anlege, bekommt nur Zugriff auf die beiden Shares, auf denen die Time-Machine Backups liegen. Hat einfach den Grund, dass ich da auch eine Quota vergeben will.

Das hier sehe ich unter "Benutzer"
- admin System default user Deaktiviert (deshalb auch keine Zuordnungen bei Lesen/Schreiben, nichts angehakt)
- guest Guest Deaktiviert
- Benutzername A Administrator Normal (ist mitglied der Benutzergruppen "administrators" und "users", Lesen/Schreiben alle Shares)
- Benutzername B Time Machine Normal (ist Mitglied der Benutzergruppe "users", hat nur Zugriff auf die beiden "Time Machine"-Shares)

Gruppen
- administrators System default admin group Mitglieder: "admin" und "Benutzername A" (Lesen/schreiben in allen Shares und Zugriff auf alle Applikationen)
- http System default group for Web services (da ist nichts aktiviert)
- users System default group (momentan nichts aktiviert, "Mitglieder bearbeiten" ist ausgegraut, obwohl ja "Benutzername A & B" "users" sind

 

[blurrrr]

Dann dem Nutzer "A", der Administrator-Rechte hat, Lese- und Schreibrechte auf alle Shares gegeben (das ist für mich der Standard-Nutzer

Ich fass mich mal kurz: "Nein." Du sollst einen anderen User mit Admin-Rechten erstellen, weil "admin" etwas "sehr" leicht zu erraten ist. Nichts weiter. Der "administrative" Benutzer ist nicht(!) Dein regulärer Benutzer, mit welchem Du "normalerweise" auf das System zum "benutzen" zugreifst.

In Deinem Fall sollte es dann eher wie folgt aussehen:

Das hier sehe ich unter "Benutzer"
- admin System default user Deaktiviert (deshalb auch keine Zuordnungen bei Lesen/Schreiben, nichts angehakt)
- guest Guest Deaktiviert
- Benutzername A Administrator Normal (ist mitglied der Benutzergruppen "administrators" und "users", Lesen/Schreiben alle Shares)
- Benutzername B Time Machine Normal (ist Mitglied der Benutzergruppe "users", hat nur Zugriff auf die beiden "Time Machine"-Shares)

+ Benutzer "C" mit Lese-/Schreibrecht auf alle "benötigten"(!) Shares und Dienste...

...z.B. NICHT "Time-Machine", denn dafür gibt es einen extra User (haste ja angelegt) und mit dem Zugriff könnte Dein normaler User eh nix anfangen. Soll heissen, dass Du im "Normalfall" nur und ausschliesslich mit Benutzer C unterwegs bist. Benutzer kommt von "benutzen" und nicht von "administrieren", demnach braucht dieser User auch nichtmals Zugriff auf das DSM-Webinterface, noch sonst irgendwas. Nutzt Du z.B. spezielle Apps (wie die Audiostation), dann braucht Dein User natürlich das entsprechende Recht darauf. Einfach immer nach dem Motto: "So wenig wie möglich, soviel wie nötig.", damit ist der Drops auch schon gelutscht (nebst der strikten Trennung zwischen "Administrator" und "Benutzer").

Ist nicht leicht, sich quasi selbst auszusperren (also den "Benutzer"), aber weniger ist manchmal mehr (vor allem dann, wenn es wirklich darauf ankommt - Schadsoftware, etc.).

 

[dvdr]

@blurrrr : ganz herzlichen Dank für Deine Erklärung.

 

[dvdr]

@blurrrr : stehe wie der Ochs vor'm Berg mit einem weiteren Problem.

Das Benutzerkonto "admin" möchte ich deaktivieren, wie besprochen.
Auf Deinen Ratschlag habe ich einen neuen User angelegt, der Administrator wird und sonst nix - werde dann auch User erstellen, die einzelne, gezielte Berechtigungen erhalten. War ein wichtiger Tipp für's Verständnis der Rechtevergabe.
Jetzt geht es darum, das dieser Benutzer mit Admin-Rechten Zugriff auf Applikationen hat - speziell DSM, damit er auf die "Weboberfläche" kommt, um zu administrieren.

Der Gruppe "administrators" als auch dem neuen Benutzer habe ich deshalb Zugriff auf die Applikation DSM gestattet in der Benutzer-/Gruppen-Verwaltung
Außerdem habe ich in Systemsteuerung->Berechtigungen folgendes für DSM eingestellt:
- lokale Benutzer: der neue Benutzer bekommt Zugriff auf DSM
- lokale Gruppe: "administrators" bekommen Zugriff auf DSM
- Standardberechtigungen: Haken weg, damit ich das immer individuell vergeben kann - ich will ja nicht von vornherein "jedem" automatisch den Zugriff gestatten, wenn ich es nicht explizit verbiete.

So jedenfalls verstehe ich den Ablauf, damit ich bestimmten Gruppen bzw. Usern den Zugriff auf die Weboberfläche zuteilen kann.
Geht aber nicht für meinen neuen Benutzer: "Sie haben keinen Zugriff".

Erst, wenn ich auch der lokalen Gruppe "Users" (in der ja auch mein Benutzerkonto für die Time Machine drin ist, das NICHT auf DSM zugreifen dürfen soll) eine Berechtigung in der Systemsteuerung->Berechtigungen erteile, komme ich als der neue administrative Benutzer auf die Weboberfläche.

Ich verstehe die Logik dahinter nicht, wenn ich explizit einem Benutzer Rechte erteile und auch der Gruppe, in der er ist (admistrators ist ja wohl eine dicke Stufe höher im Ranking als Users), dass er diese Rechte dann nicht auch hat. Dass ich erst auch "Users" wieder für eine Applikation freigeben muss, damit ein Administrator diese Rechte bekommt.

Sorry, aber ich hab' fleißig gesucht und gegoogelt, aber nichts gefunden, das mir dieses Verhalten erklärt. Könntest Du freundlicherweise Licht ins Dunkel bringen? Danke!

 

[THDev]

Kurze Antwort: Deny > Allow > N/A.

 

[dvdr]

@THDev Das ist mir schon klar, dass Verbot über Erlaubnis steht. Aber wenn ich "mir" und der Gruppe "Administratoren", deren Mitglied ich bin, etwas erlaube (sowohl in der Verwaltung der Benutzer-Konten als auch in den Berechtigungen), und der Gruppe "Users", bei der ich halt auch noch automatisch Mitglied bin, etwas nicht explizit verbiete, sondern nichts anhake, also "N/A"-e, dann sollte ich doch als Mitglied von "Administrators" die Erlaubnis für DSM haben?

 

[THDev]

AdminGruppe hat immer DSM erlaubnis außer du hast die default application permissions umgestellt.

 

[blurrrr]

Also grundsätzlich sind die rechte kumulativ. Heisst, wenn Du User1 in Gruppe1 packst, dem User1 etwas erlaubst und der Gruppe es verbietest, wiegt letzteres schwerer. Wenn die Gruppe allerdings "nur" das nicht nicht zugewiesen bekommen hat (kein explizites Verbot), dann gilt das Recht von User1 mit der Erlaubnis.

Ferner: Sofern es sich vermeiden lässt (weiss ja nicht, für viele Leute Du Zugriff planst), versuch Dir das Leben einfach zu machen und arbeite bei mehreren Accounts einfach nur mit Gruppen, welchen Du dann die entsprechenden Rechte zuweist.

Der administrative Account (nicht der "admin", sondern der, den Du eigentlich schon direkt bei der Installation angelegt haben solltest) hat sowieso schon alle benötigten Rechte (das bleibt auch so). Alternativ machst Du einen neuen und steckst den einfach in die Administrator-Gruppe, dann sollten die Rechte auch schon stimmen. Alles was danach kommt - wie gesagt, je nach Useranzahl - wird rechtetechnisch von Dir erstellten Gruppen zuwiesen, so dass Du die User nur noch in die passenden Gruppen stecken musst und fertig. Benutzt Du das NAS allein (oder mit nur sehr wenigen Personen), kannst Du die Rechte natürlich auch pro Person festlegen. Hierbei ist natürlich erstmal das Recht auf die entsprechende Freigabe (gemeinsamer Ordner) wichtig und im Nachgang (sofern benötigt), die entsprechenden Rechte für die verschiedenen Applikationen.

Btw nur weil Du einen neuen User anlegst, hat dieser nicht automatisch das Recht auf irgendwas zuzugreifen. Man kann aber bei den Berechtigungen sehr gut sehen, warum jemand auf was entsprechende Berechtigungen bekommen hat (durch den "User", oder die "Gruppe") und kann dann auch entsprechend nachjustieren