Synology Photos nur Admin haben noch Zugriff auf \photo

[djtn]

hab mein NAS schon einige Jahre in Betrieb und bin kürzlich von meiner Familie auf folgendes Problem angesprochen worden, das mir nicht aufgefallen ist, weil ich als Admin und nicht als User auf dem NAS unterwegs bin. Die Memner der Gruppe users haben kein Zugriff mehr auf Unterverzeichnisse von \photo. Ein Dir auf Kommandoebene liefert ein leeres Verzeichnis liefert "File not found", obwohl dort mehrere UVZ liegen, Zugriff über den Explorer liefert einen 'cannot access-Fehler". Hab mitgenommen, dass das Volume \photo unter Verwaltung der Synolgy Photos Anwendung ist. Die user sind alle unter "Einstellungen-freigegebener Bereich" eingetragen mit vollem Zugriff. Eine Idee, woran es liegen kann, welche Abhängigkeiten gibt es noch. Dieselben user können auf anderen Volumes gemäß Ihren eingetragene Berechtigungen zugrefen, aber bei \photo spuckt jetzt etwas in die Suppe.

 

[plang.pl]

Die Berechtigungen in der Systemsteuerung / FileStation stimmen auch?

 

[Synchrotron]

… bin kürzlich von meiner Familie auf folgendes Problem angesprochen worden, das mir nicht aufgefallen ist, weil ich als Admin und nicht als User auf dem NAS unterwegs bin.

Das sollte dir selbst auffallen, wenn du sicherheitsbewußt arbeitest.

Dann hättest du einen Admin-User für Admin-Gedöns, und einen zweiten normalen User für das eigene Arbeiten. Den Admin für alles nehmen ist zwar bequem, aber ein klares Sicherheitsrisiko.

 

[djtn]

Ja, die Berechtigung lesen und schreiben ist gegeben, auch für die Gruppe, in drr die User sind

 

[djtn]

Nochmal alles überprüft, die Situation sieht wie folgt aus. Ich habe jetzt mit einem neu angelegten User getestet, der der Gruppe users zugeordnet ist:

Test mit zwei Volumes:
\test
\photo

User:
testuser in Gruppe users

Gruppenrechte:
users: SMB und Synology Photos zugelassen

Rechte für \test in Systemsteuerung\Filestation:
die Gruppe users hat Read/Write Rechte, Zugriff auf Unterverzeichnis \test\UVZ funktioniert

Rechte für \photo in Systemsteuerung\Filestation:
die Gruppe users hat Read/Write Rechte, Zugriff auf Unterverzeichnis \photo\UVZ funktioniert nicht (über Win Explorer die Windows cannot access-Fehlermeldung, über die Kommandozeile mit DIR kommt nur File Not Found, statt das UVZ anzuzeigen

in 'Synology Photos-Profil-Einstellungen-Freigegebener Bereich-Zugriffsberechtigungen festlegen' hat die Gruppe users Zugriffstufe 'vollen Zugriff
Wenn ich mich in Synology Photos mit dem testuser anmelde, kann ich auf \photo\UVZ zugreifen.

Ich habe keine Idee mehr, woran es liegen könnte. Ich habe jetzt alle beschriebenen Rechte entfernt und neu gesetzt, ändert aber nix.

 

[metalworker]

mach am bestenmal Bildschirm fotos , denn oft lieget da der Teufel im Detail .

also von den Freigaben und den rechten . Da können wir das am besten bewerten.

 

[cwe89]

Wenn es ja in der Vergangenheit funktioniert hat welche Änderungen / Updates hast du denn gemacht.
Welche Version von Phots ist es?

 

[djtn]

@metalworker hab da die aus meiner Sicht relevanten screenshots angehängt.

 

[djtn]

Wenn es ja in der Vergangenheit funktioniert hat welche Änderungen / Updates hast du denn gemacht.
Welche Version von Phots ist es?

Stimmt, zu meinem Environment habe ich noch nichts gesagt:
ich benutze eine DS1621+ mit DSM 7.2.1-69057.
Photos läuft als 16.01.2024
Ich bin der einzige admin und hab nach meiner Erinnerung nichts verändert, aber ich weiß, dass sagen alle...

 

[metalworker]

die User die nicht gehen , was steht denn da bei der Berechtigungs vorschau?
Kann durch das schwärzen nicht sehen welche da mit "kein zugriff" stehen

 

[cwe89]

Als erstes würde ich mal ein Update von Photos machen wenn möglich. Aktuelle Version 1.6.2-0710. Die Version von dir 16.01.2024 ist das eine Datum wann das letzte Update gemacht wurde?

Man könnte noch probieren die APP Photos du löschen und neu zu installieren. Backup vorher nicht vergessen.
Ich vermute das irgendwelche internen Rechte verbogen sind und diese wieder herzustellen .

 

[Benares]

Es gibt einige Grundregeln, die du beachten musst.
1.) Alle Benutzer sind Mitglied in der Gruppe users, auch die admins.
2.) Verbote sind immer stärker als Genehmigungen. Wenn du also einem Benutzer etwas erlaubst, aber einer Gruppe, in der er steckt, etwas verweigerst, darf er nichts.
3.) Die Berechtigungen innerhalb von SP haben nichts (mehr) mit den Berechtigungen auf den Share /photo zu tun.
4.) Es gibt zwei Berechtigungsarten bei den Freigegeben Ordnern, Unix-Standard und ACL. ACL ist mittlerweile Standard, dort wird die Berechtigung auf Ebene der Freigegebenen Ordner gesetzt und 1:1 nach unten vererbt. Bei Unix-Standard kann jeder Unterordner anders berechtigt sein, abhängig davon, wer ihn anlegt. In welchen Mode ein Ordner läuft, kannst du unter Systemsteuerung, Freigegebene Ordner, Rechts-Klick auf den Ordner, Aktion erkennen. Ist dort der Punkt "Konvertiere zu Windows-ACL" ausgegraut ist, läuft der Ordner mit ACLs.

 

[djtn]

Als erstes würde ich mal ein Update von Photos machen wenn möglich. Aktuelle Version 1.6.2-0710. Die Version von dir 16.01.2024 ist das eine Datum wann das letzte Update gemacht wurde?

Man könnte noch probieren die APP Photos du löschen und neu zu installieren. Backup vorher nicht vergessen.
Ich vermute das irgendwelche internen Rechte verbogen sind und diese wieder herzustellen .

Der gepostete Anwendungsstand ist der von der Synolgy Photos Anwendung auf dem Server. Photos Mobile auf dem iPhone funktioniert in der beschrieben Konstellation mit dem testuser und ich bin in der Lage, Fotos aus UVZ anzuzeigen. Was nicht funktioniert ist der Zugriff auf UVZ im Volume \photo, wenn Sie auf meinem(oder anderen) Windows 11 PC gemapped sind, also die SMB-Schiene.
Die Photos App auf dem NAS habe ich schon neu installiert, ändert leider nix.

 

[djtn]

die User die nicht gehen , was steht denn da bei der Berechtigungs vorschau?
Kann durch das schwärzen nicht sehen welche da mit "kein zugriff" stehen

Dasselbe wie beim Testuser, sie haben alle Lesen/Schreiben-Rechte

 

[djtn]

Es gibt einige Grundregeln, die du beachten musst.
1.) Alle Benutzer sind Mitglied in der Gruppe users, auch die admins.

ja, das hatte ich gesehen

2.) Verbote sind immer stärker als Genehmigungen. Wenn du also einem Benutzer etwas erlaubst, aber einer Gruppe, in der er steckt, etwas verweigerst, darf er nichts.

ebenfalls verstanden und beachtet

3.) Die Berechtigungen innerhalb von SP haben nichts (mehr) mit den Berechtigungen auf den Share /photo zu tun.

ja, hatte ich bei der umstellung von der Vorgänger-Anwendung mitgenommen

4.) Es gibt zwei Berechtigungsarten bei den Freigegeben Ordnern, Unix-Standard und ACL. ACL ist mittlerweile Standard, dort wird die Berechtigung auf Ebene der Freigegebenen Ordner gesetzt und 1:1 nach unten vererbt. Bei Unix-Standard kann jeder Unterordner anderes berechtigt sein, abhängig davon, wer ihn anlegt. In welchen Mode ein Ordner läuft, kannst du unter Systemsteuerung, Freigegebene Ordner, Rechts-Klick auf den Ordner, Aktion. Ist dort der Punkt "Konvertiere zu Windows-ACL" ausgegraut ist, läft der Ordner mit ACLs.

Danke, das war die Lösung. Hab die Konvertierung zu Windows-ACLs aktiviert, damit funktioniert es ))