"Netzlaufwerk verbinden" verbindet DiskStation-Ordner ohne erteilte Zugriffsberechtigung

[haiiiner]

Liebe Leute,

offenbar kann ich einen Denkfehler oder eine Wissenslücke nicht ohne Hilfe überwinden:

Win10 erlaubt mir hier in einem bestimmten Windows-Konto via "Netzlaufwerk verbinden" im (Datei-) Explorer das Einbinden eines "Gemeinsamen Ordners" der DiskStation, den ich aber für dieses Win-Konto gerade nicht zugänglich machen will.

Beim Login über die Benutzeroberfläche der Diksstation funktioniert alles wie beabsichtigt: je nach Benutzergruppenzugehörigkeit können sich Benutzer Zugriff auf Gemeinsame Ordner verschaffen.

Die erste Gruppe hat Zugriff auf zwei Gemeinsame Ordner, die zweite nur auf einen der beiden.

Gemeinsamer Ordner A : zugriffsberechtigt: Benutzergruppe A, Benutzergruppe S
Gemeinsamer Ordner N : zugriffsberechtigt: Benutzergruppe S

Die Benutzerkonten der DiskStation sind genauso benannt wie die Win10-Konten, die dieselben Zugriffsrechte haben sollen (A-01, A-02, ... und S-01, S-02, ...) - ich dachte, damit wären auch die beiden Zugriffsebenen via Win10-Benutzerkonten unterschieden, aber dem scheint nicht so zu sein - könnt Ihr mir helfen?

System:
DS214+
Fritzbox 6490 Cable
PCs mit Win10

 

[ottosykora]

Habe so was bei einer unserer Aussenstellen auch gefunden. Habe selbst gestaunt, dass ich im Windows Explorer einfach so auf alles Zugriff habe, auch wenn die Leute alles schön in Gruppen berechtigt haben. Ich musste weder Password eingeben noch ist mein win Konto mit einem der DSM Konten identisch. Alles schön nur der Gruppe freigegeben, aber dann bei users geschaut, dort ist alles noch dabei. Gast ist auch noch eingeschaltet. Oder die ACL Rechte angeschaut und siehe da, everyone hat auch noch Zugriff.

 

[haiiiner]

Danke für Dein Feedback! Und hast Du ne Ahnung, was man dagegen machen kann?

 

[ottosykora]

eben nachschauen was alles noch Zugriff hat.
Das kann ich so nicht sagen, aber schau bei users, dann bei guest, dann unter ACL Rechten ob nicht everyone da Rechte hat etc.

 

[haiiiner]

Offenbar würde eine Anmeldeverwaltung der Windows-Benutzerkonten durch die Diskstation (nur dann) funktionieren, wenn man den Synology Active Directory Server verwendet. Das ist eine Art domain controller.

Wesentlich simpler wäre es aber wohl, wenn man den Windows-Benutzern teilweise die Möglichkeit verweigern könnte, zusätzliche Netzlaufwerke einzubinden. Wie das geht, weiß ich aber auch nicht.

 

[synfor]

Lass bitte die Finger von der Schriftfarbe. Nein ein AD ist notwendig, um dein Ziel zu erreichen. Irgendwo ist bei deiner Rechtevergabe noch der Wurm drin. Kontrolliere alles noch mal gründlich. Gegebenenfalls auch mehrfach.

 

[ottosykora]

Die Anmeldung durch Windows Konten geht ja, nur müssen halt die Rechte bei den Ordnern stimmen.
Wenn der Benutzer keinen Zugriff auf die Freigabe hat, kann es auch nicht als Netzlaufwerk einbinden.

 

[ottosykora]

Wenn eine Gruppe X Zugang hat und eine Gruppe Y nicht, heisst es noch lange nicht dass Mitglieder von Y sich da keinen Zugang bekommen.
Mitglieder beider Gruppen sind auch Mitglied in der Systemgruppe users. Wenn users weiter alle Rechte hat, dann haben es auch X und Y.
So nur als Beispiel.

 

[haiiiner]

Das verstehe ich nicht. Die Mitgliedschaft zur Systemgruppe users ist meines Wissens obligatorisch - ich kann dieses Häkchen auch gar nicht entfernen. D.h. eine Einschränkung der Rechte von users wirkt sich auf alle - bspw. auch auf den admin - aus.

 

[haiiiner]

Lass bitte die Finger von der Schriftfarbe. Nein ein AD ist notwendig, um dein Ziel zu erreichen. Irgendwo ist bei deiner Rechtevergabe noch der Wurm drin. Kontrolliere alles noch mal gründlich. Gegebenenfalls auch mehrfach.

Danke, aber zu verkürzt für mich. Was ist ein AD? Die Rechtevergabe habe ich doppelt und dreifach kontrolliert.

 

[ottosykora]

AD , Active Directory, hast selber darüber angefangen.

Rechte:
Du kannst nicht Mitglieder aus users entfernen.
Aber wenn users Zugriff haben auf einen Ordner, dann haben sie es halt. Das ändert dann auch nichts wenn du in 3 anderen Gruppen bist und was verbietest.
Ob du dem admin hier auch was verbietest ist egal, der ist ja in der Administratoren Gruppe und die können erstens alles und wenn nicht können die sich es jederzeit selber erlauben.

Ich denke du musst dich sehr langsam an die Rechteverwaltung von Linux hier einarbeiten.

Nein, du hast Rechte nicht doppelt und auch nicht dreifach kontrolliert, sonst gäbe es das Problem nicht.
Es gibt da so einen Permission Inspector, weiss nicht wie es in deutscher DSM heisst.
Dort kannst du schauen welche Rechte wirklich einzelen User oder Gruppen haben.

 

[blurrrr]

Immer daran denken: Rechte sind kumulativ! Explizite Verweigerung ist von der Wertung höher angesiedelt als die Erlaubnis (wenn man aber explizit etwas verweigern muss, hat man eigentlich prinzipiell schon etwas falsch gemacht ?? ).

 

[haiiiner]

Es scheint, als sei das Problem gelöst. Otto, Dein Tipp mit dem Permission Inspector hat dazu geführt, dass ich die "Erweiterten Freigabeberechtigungen" gefunden habe:

Systemsteuerung > Gemeinsamer Ordner > Bearbeiten > Erweiterte Berechtigungen > Erweiterte Freigabeberechtigungen

Deren Aktivierung soll die Windows Dateifreigabe/Windows ACL-Berechtigungen berücksichtigen*, also habe ich sie probehalber aktiviert und dort alle Zugriffsrechte erneut vergeben - und siehe da, nun kann ich nur noch die Gemeinsamen Ordner als "Netzlaufwerk verbinden", für die das jeweilige Windows-Benutzerkonto via Namensgleichheit Zugriffsberechtigung hat. Also ganz ohne Active Directory Server.

* "Erweiterte Freigabeberechtigungen bieten eine zusätzliche Kontrollebene, um die Zugriffsberechtigungene für den gemeinsamen Ordner zu verwalten und werden angewendet, wenn Benutzer mit den folgenden Dateidiensten auf den gemeinsamen Ordner zugreifen: Windows Dateifreigabe [...]. Nur Benutzer mit ereiterten Freigabeberechtigungen und Windows ACL-Berechtigungen können auf die Ordner im gemeinsamen Ordner zugreifen."

 

[synfor]

Hier geht das auch ohne erweiterte Berechtigungen.

 

[ottosykora]

]Es scheint, als sei das Problem gelöst. Otto, Dein Tipp mit dem Permission Inspector hat dazu geführt, dass ich die "Erweiterten Freigabeberechtigungen" gefunden habe:

eigentlich braucht man die erweiterten Berechtigungen hier gar nicht, es geht eher darum mit dem Permission Inspector herauszufinden woher allenfalls Rechte 'durch Hintertür' zugeteilt werden. Also für Fehlersuche.
Dein Rechteproblem liegt nicht bei den erweiterten Rechten, das ist ganz elementar bei der ursprünglichen Rechten der Gruppen.

 

[haiiiner]

Offenbar habe ich keinen Permission Inspector. Aber die einzige Fehlerquelle - falls es sich um einen Fehler handelt - sehe ich bei der Gruppe users, die ausdrücklich Lese- und Schreibzugriff hat.

 

[Puppetmaster]

Hast du an der denn irgendwann einmal irgendetwas verändert? Die Gruppe 'users' ist vorhanden, sollte aber von vornherein komplett unangetastet bleiben. Ansonsten passieren teils merkwürdige Dinge.

 

[haiiiner]

Genau - ich habe sie angetastet. Und musste dann users explizit Lese- und Schreibzugriff gewähren, damit überhaupt wieder irgendetwas funktioniert. Möglicherweise habe ich meine Diskstation damit in ein Spukhaus verwandelt...

 

[ottosykora]

Offenbar habe ich keinen Permission Inspector. Aber die einzige Fehlerquelle - falls es sich um einen Fehler handelt - sehe ich bei der Gruppe users, die ausdrücklich Lese- und Schreibzugriff hat.

schau in #11, dort klicken und der Inspektor geht auf. Sieht zuerst ähnlich aus wie der Editor, aber Inspektor zeigt die Summe der Berechtigungen.

 

[haiiiner]

schau in #11, dort klicken und der Inspektor geht auf

Habe es gefunden, heißt "Berechtigungsprüfung"* - sagt aber nicht mehr und nicht weniger aus als die anderen Dialogfenster, in denen Rechte konfiguriert werden - jedenfalls bei mir stimmt das alles überein und zeigt keinerlei ungewollte Abweichung an.

Sofern sich Euer Windows-Explorer anders verhält als meiner, gehe ich also davon aus, dass ich durch das Antasten der Gruppe "users" einen Bug aktiviert habe. Oder - andere Lesart - man soll dieses Problem über die "Erweiterten Freigabeberechtigungen" lösen.

* > File Station > Rechtsklick auf einen "Gemeinsamen Ordner" > "Eigenschaften" > Registerkarte "Berechtigung" > "Erweiterte Optionen" > "Berechtigungsprüfung"